Blog

Das Samba-Team der SerNet hat SAMBA+ 4.17.4, 4.16.8 und 4.15.13 veröffentlicht. Es handelt sich um wichtige Sicherheitsupdates, bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Bitte beachten Sie, dass in dieser Version einige wichtige Verhaltensänderungen enthalten sind, die zu Kompatibilitätsproblemen im Zusammenspiel mit Systemen führen können, die noch das alte Verhalten erwarten. Insbesondere Systeme älter als Windows 7, Windows 2008R2 und Samba 4.0 sind hiervon betroffen. Systeme wie NetApp ONTAP können ebenfalls betroffen sein. Bitte lesen Sie die Release Notes und Advisories sorgfältig durch:

• Release Notes für Samba 4.17.4
• Release Notes für Samba 4.16.8
• Release Notes für Samba 4.15.13

Die Pakete beheben die folgenden sicherheitsrelevanten Probleme:

• CVE-2022-37966 rc4-hmac Kerberos-Sitzungsschlüssel, die an moderne Server ausgegeben werden
  Dies ist die Samba CVE für die Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability, die von Microsoft am 8. November 2022 bekannt gegeben wurde.
  
  Ein Samba Active Directory DC gibt schwache rc4-hmac-Sitzungsschlüssel zur Verwendung zwischen modernen Clients und Servern aus, obwohl alle modernen Kerberos-Implementierungen den aes256-cts-hmac-sha1-96-Cipher unterstützen.
  
  Auf Samba Active Directory DCs und Mitgliedern würde 'kerberos encryption types = legacy' rc4-hmac als Client erzwingen, selbst wenn der Server aes128-cts-hmac-sha1-96 und/oder aes256-cts-hmac-sha1-96 unterstützt.
   
• CVE-2022-37967 Kerberos constrained delegation ticket forgery possible against Samba AD DC
  Dies ist die Samba CVE für die Windows Kerberos Elevation of Privilege Vulnerability, die von Microsoft am 8. November 2022 bekannt gegeben wurde.
  
  Ein Dienstkonto mit der speziellen eingeschränkten Delegationsberechtigung könnte ein stärkeres Ticket fälschen als das, das ihm vorgelegt wurde.
   
• CVE-2022-38023 RC4/HMAC-MD5 NetLogon Secure Channel ist schwach und sollte vermieden werden
  Der "RC4"-Schutz des NetLogon Secure Channel verwendet die gleichen Algorithmen wie die rc4-hmac-Kryptographie in Kerberos und muss daher ebenfalls als schwach angesehen werden.

4.15.13 befasst sich zusätzlich mit:

• CVE-2022-45141 Samba AD DC mit Heimdal kann gezwungen werden, rc4-hmac-verschlüsselte Kerberos-Tickets auszustellen
  Da die Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability von Microsoft am 8. November 2022 bekannt gegeben wurde und per RFC8429 wird angenommen, dass rc4-hmac schwach ist.
  
  Anfällige Samba Active Directory DCs stellen rc4-hmac verschlüsselte Tickets aus, obwohl der Zielserver eine bessere Verschlüsselung unterstützt (z.B. aes256-cts-hmac-sha1-96).

Das Samba-Team der SerNet hat die SAMBA+ Pakete 4.17.3, 4.16.7 und 4.15.12 veröffentlicht. Dies sind wichtige Sicherheitsversionen, bitte aktualisieren Sie betroffene Systeme so bald wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete beheben die folgenden Probleme:

• CVE-2022-42898: Samba buffer overflow vulnerabilities on 32-bit systems
  Samba's Kerberos libraries and AD DC failed to guard against integer overflows when parsing a PAC on a 32-bit system, which allowed an attacker with a forged PAC to corrupt the heap.
   
• Fix a regression introduced by the CVE-2022-42898 fix affecting 32-bit systems leading to a failure to validate PACs.
  DEB: 4.15.12-16, 4.16.7-22, 4.17.3-20
  RPM: 4.15.12-16, 4.16.7-21, 4.17.3-19

Vom 10. - 11. Mai 2023 findet die 22. sambaXP statt. Dieses Mal endlich wieder vor Ort im Hotel Freizeit In in Göttingen, Deutschland! Wie jedes Jahr versammelt sich hier das SAMBA-Team mit seinen Entwickler*innen, Anwendenden und Anbietenden. Dabei steht die OpenSource Software SAMBA mit seinen aktuellen Neuerungen, Entwicklungen und vielem mehr im Mittelpunkt. Die Veranstalterin SerNet freut sich auf einen guten Austausch!

Call for Paper
Der Call for Paper ist gestartet. Wir freuen uns über Vorträge zu unterschiedlichen Themen in SAMBA und den Herausforderungen im Datenmanagement. Das Programmkomitee, bestehend aus Jeremy Allison (Google), Stefan Kania (Author), Ralph Boehme (SerNet), sichtet die Beiträge und gibt Rückmeldung. Reichen Sie gleich Ihren Vortragsvorschlag unter https://www.sambaXP.org ein!

Workshops am 9. Mai 2023
Am Vortag der Konferenz werden wieder mehrere Workshops angeboten. Die Themen werden in Kürze bekannt gegeben.

Der Ticketverkauf startet noch in diesem Monat. Mehr Informationen erhalten Sie unter https://www.sambaXP.org.

Videos sambaXP 2022
Sie möchten sehen, welche Vorträge es in diesem Jahr gegeben hat? Auf YouTube finden Sie eine Playlist mit den Vorträgen der sambaXP 2022.

SAMBA+ 4.17.2, 4.16.6 und 4.15.11 sind soeben veröffentlicht worden. Dies sind wichtige Security Releases, bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete 4.17.2 beheben die folgenden Probleme:

• CVE-2022-3437: Buffer overflow in Heimdal unwrap_des3():
  There is a limited write heap buffer overflow in the GSSAPI unwrap_des() and unwrap_des3() routines of Heimdal (included in Samba).
• CVE-2022-3592: Wide links protection broken:
  A malicious client can use a symlink to escape the exported directory.

Samba 4.16 und 4.15 sind nicht von CVE-2022-3592 betroffen, die Pakete adressieren CVE-2022-3437.

Die Pakete 4.15.11 beheben zusätzlich die folgenden Probleme:

• Bug 15197: Windows 11 22H2 and Samba-AD 4.15 Kerberos login issue
• Bug 15202: writev epoll_wait cpu-spinning in the LDAP server

SAMBA+ 4.15.10 ist von SerNet veröffentlicht worden. Pakete für verschiedene SUSE- und Red-Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Die neuen Pakete beheben verschiedene Probleme, die Änderungen seit Samba 4.15.9 sind in den Release Notes hier aufgeführt: https://www.samba.org/samba/history/samba-4.15.10.html