Blog

Disponibilité des versions de sécurité SAMBA+ 4.17.4, 4.16.8 et 4.15.13

SAMBA+ 4.17.4, 4.16.8 et 4.15.13 viennent d'être publiés. Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes affectés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Veuillez noter qu'il y a plusieurs changements de comportement importants inclus dans ces versions, qui peuvent causer des problèmes de compatibilité en interagissant avec le système qui s'attend encore à l'ancien comportement. En particulier les systèmes plus anciens que Windows 7, Windows 2008R2 et Samba 4.0 sont affectés ici. Des systèmes comme NetApp ONTAP peuvent également être affectés. Veuillez lire attentivement les notes de version et les avis :

Les paquets traitent les problèmes liés à la sécurité suivants :

  • CVE-2022-37966 rc4-hmac Clés de session Kerberos émises vers des serveurs modernes
    Il s'agit du CVE Samba pour la vulnérabilité d'élévation de privilège Windows Kerberos RC4-HMAC divulguée par Microsoft le 8 novembre 2022.

    Un DC Active Directory de Samba émettra des clés de session rc4-hmac faibles pour une utilisation entre des clients et des serveurs modernes malgré toutes les implémentations Kerberos modernes supportant le chiffrement aes256-cts-hmac-sha1-96.

    Sur les DC et les membres Samba Active Directory, 'kerberos encryption types = legacy' forcerait rc4-hmac en tant que client même si le serveur prend en charge aes128-cts-hmac-sha1-96 et/ou aes256-cts-hmac-sha1-96.
     
  • CVE-2022-37967 Falsification de ticket de délégation contrainte Kerberos possible contre Samba AD DC
    Il s'agit du CVE Samba pour la vulnérabilité d'élévation de privilège de Windows Kerberos divulguée par Microsoft le 8 novembre 2022.

    Un compte de service avec la permission spéciale de délégation contrainte pourrait forger un ticket plus puissant que celui qui lui a été présenté.
     
  • CVE-2022-38023 Le canal sécurisé NetLogon RC4/HMAC-MD5 est faible et doit être évité
    La protection "RC4" du canal sécurisé NetLogon utilise les mêmes algorithmes que la cryptographie rc4-hmac dans Kerberos, et doit donc également être considérée comme faible.

Les paquets SAMBA+ 4.15.13 adressent en outre :

  • CVE-2022-45141 Samba AD DC utilisant Heimdal peut être forcé à émettre des tickets Kerberos chiffrés rc4-hmac
    Depuis que la vulnérabilité Windows Kerberos RC4-HMAC Elevation of Privilege a été divulguée par Microsoft le 8 novembre 2022 et par RFC8429, on suppose que rc4-hmac est faible.

    Les DCs Samba Active Directory vulnérables émettront des tickets chiffrés rc4-hmac malgré le fait que le serveur cible prenne en charge un meilleur chiffrement (par exemple, aes256-cts-hmac-sha1-96).

SAMBA+ 4.17.3, 4.16.7 et 4.15.12 viennent d'être publiés par SerNet. Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes concernés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Les paquets traitent les problèmes suivants:

  • CVE-2022-42898: Samba buffer overflow vulnerabilities on 32-bit systems
    Samba's Kerberos libraries and AD DC failed to guard against integer overflows when parsing a PAC on a 32-bit system, which allowed an attacker with a forged PAC to corrupt the heap.
     
  • Fix a regression introduced by the CVE-2022-42898 fix affecting 32-bit systems leading to a failure to validate PACs.
    DEB: 4.15.12-16, 4.16.7-22, 4.17.3-20
    RPM: 4.15.12-16, 4.16.7-21, 4.17.3-19

sambaXP Drapeaux

La 22e édition de sambaXP aura lieu du 10 au 11 mai 2023. Cette fois-ci, elle se déroulera enfin sur place, à l'hôtel Freizeit In de Göttingen, en Allemagne! Comme chaque année, l'équipe SAMBA s'y réunit avec ses développeurs, ses utilisateurs et ses fournisseurs. Le logiciel OpenSource SAMBA, ses nouveautés actuelles, ses développements et bien d'autres choses encore seront au centre de l'attention. L'organisateur SerNet se réjouit d'un bon échange!

Appel à contributions
L'appel à communications est lancé. Nous nous réjouissons de recevoir des présentations sur différents thèmes de SAMBA et sur les défis de la gestion des données. Le comité de programme, composé de Jeremy Allison (Google), Stefan Kania (Author), Ralph Boehme (SerNet), examine les contributions et donne son avis. Soumettez dès maintenant votre proposition de présentation à https://www.sambaXP.org!

Ateliers le 9 mai 2023
La veille de la conférence, plusieurs ateliers seront à nouveau proposés. Les thèmes seront annoncés prochainement.

La vente des billets débutera ce mois-ci. Pour plus d'informations, rendez-vous sur https://www.sambaXP.org.

Vidéos sambaXP 2022
Vous souhaitez voir les conférences qui ont eu lieu cette année ? Sur YouTube, vous trouverez une playlist des présentations de la conférence de 2022.


SAMBA+ 4.17.2, 4.16.6 et 4.15.11 viennent d'être publiés. Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes affectés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Les paquets 4.17.2 traitent les problèmes suivants:

  • CVE-2022-3437: Buffer overflow in Heimdal unwrap_des3():
    There is a limited write heap buffer overflow in the GSSAPI unwrap_des() and unwrap_des3() routines of Heimdal (included in Samba).
  • CVE-2022-3592: Wide links protection broken:
    A malicious client can use a symlink to escape the exported directory.

Samba 4.16 et 4.15 ne sont pas affectés par CVE-2022-3592, les paquets adressent CVE-2022-3437.

Les paquets 4.15.11 traitent en outre les problèmes suivants:

  • Bug 15197: Windows 11 22H2 and Samba-AD 4.15 Kerberos login issue
  • Bug 15202: writev epoll_wait cpu-spinning in the LDAP server

SAMBA+ 4.15.10 vient d'être publié par SerNet. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Ces paquets traitent plusieurs problèmes, les changements depuis Samba 4.15.9 sont listés dans les notes de publication ici: https://www.samba.org/samba/history/samba-4.15.10.html

.


Contact us
Contact
Deutsch English Français