Blog

La 23e édition de sambaXP aura lieu les 17 et 18 avril 2024. Cette année, la conférence se tiendra à distance via Zoom. L'équipe internationale de SAMBA se réunit avec d'autres utilisateurs et fournisseurs afin de s'y retrouvera pour échanger sur les derniers développements et innovations dans le monde de SAMBA. L'organisateur SerNet se réjouit d'une conférence passionnante et d'un échange riche en connaissances avec les développeurs, les utilisateurs et les fournisseurs.

Appel à communications
L'appel à communications est déjà lancé. Le comité d'organisation se réjouit de recevoir des propositions d'exposés sur différents thèmes liés à SAMBA, tels que le développement, le déploiement, la sécurité, l'optimisation des performances et l'intégration dans d'autres technologies. Soumettez votre présentation dès maintenant à https://sambaxp.org!

Ateliers le 16 avril 2024
Traditionnellement, plusieurs ateliers seront organisés cette année encore. Les thèmes seront encore annoncés en janvier 2024. Tout comme la conférence, les ateliers se dérouleront à distance via Zoom.

Billets
La participation à la conférence est gratuite. Seule une inscription sur https://sambaxp.org est nécessaire.

Vous êtes curieux de savoir quelles conférences étaient à l'ordre du jour de la dernière sambaXP ? N'hésitez pas à consulter la playlist Youtube de la sambaXP 2023.


"Sauvegarde de Windows AD et comment la migrer vers Samba" a été présenté par Björn Jacke et Volker Lendecke le 7 décembre 2023 dans l'auditorium du Jacob-und-Wilhelm-Grimm-Zentrum de la Humboldt-Universität zu Berlin. Les deux membres de longue date de l'équipe Samba de SerNet et de l'équipe Samba Core ont contribué à cette conférence dans le cadre de la série d'événements de l'Adminstammtisch Berlin.

La conférence - uniquement en allemand - a pour but de présenter le travail de l'équipe Samba.

L'exposé - en allemand uniquement - offre la possibilité de bénéficier d'une connaissance approfondie de la migration et de la sécurisation de Windows Active Directory vers Samba : La plupart des installations Active Directory sont basées sur Windows. Samba permet de sauvegarder une telle installation AD à l'aide de moyens Unix et de faire fonctionner la sauvegarde avec un DC Samba. Cela peut être utile non seulement pour les sauvegardes, mais aussi pour une migration de Windows vers Samba, comme l'ont démontré Jacke et Lendecke. Un enregistrement est disponible.

Ils ont également donné des informations précieuses sur Samba et les progiciels SAMBA+ proposés par SerNet pour diverses distributions Linux et IBM AIX. L'Adminstammtisch Berlin est organisé par et pour les professionnels de l'informatique qui s'engagent à partager leurs connaissances et leur expérience et à discuter de sujets d'actualité liés à l'informatique.


SAMBA+ 4.19.3-5 et SAMBA+ 4.18.9-9 viennent d'être publiés par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Veuillez consulter l'historique des versions ici:

Le correctif pour CVE-2018-14628, qui fait maintenant partie de la version 4.19.3 et 4.18.9 en amont, était déjà corrigé dans SAMBA+ 4.19.2 et SAMBA+ 4.18.8. Par souci d'exhaustivité, nous décrivons une fois de plus comment appliquer le correctif actuel pour la base de données AD. Si vous l'avez déjà fait lors de la précédente mise à jour de SAMBA+, vous n'avez pas besoin de refaire les étapes suivantes.

Action requise pour résoudre CVE-2018-14628

La version corrigée de Samba ne protège PAS les domaines existants!

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les modifications avant qu'elles ne soient appliquées. Les questions typiques sont les suivantes:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org' 

Le changement doit être confirmé par "y" pour tous les objets commençant par

'CN=Deleted Objects'.


SAMBA+ 4.19.2-4 vient d'être publié par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

https://www.samba.org/samba/history/samba-4.19.2.html

En plus des corrections mentionnées dans les notes de version ci-dessus, SAMBA+ contient également 2 corrections supplémentaires notables :

Un correctif pour Kerboros User2User TGS-REQ, qui peut empêcher les utilisateurs de récupérer des tickets pour eux-mêmes dans certaines conditions :

https://bugzilla.samba.org/show_bug.cgi?id=15492

La deuxième modification supplémentaire, qui corrige la permission du conteneur d'objets supprimés (CVE-2018-14628), est encore plus importante. Il est cependant nécessaire d'exécuter une commande pour corriger la permission, car les ACL sur le conteneur ne seront pas modifiées automatiquement. Voici ce qu'il faut faire pour corriger la permission :

==================================================
Action requise pour résoudre CVE-2018-14628
==================================================

La version corrigée de Samba ne protège PAS les domaines existants !

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant :

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les changements avant qu'ils ne soient appliqués. Les questions typiques se présentent comme suit :

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Le changement doit être confirmé par 'y' pour tous les objets commençant par 'CN=Deleted Objects'.

Les prochaines mises à jour des packages SAMBA+ 4.17 et 4.18 traiteront également la CVE-2018-14628.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels et peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont disponibles sur usdshop.samba.plus (devise : USD) ou shop.samba.plus (devise : EUR). Les nouveaux packages SAMBA+ sont inclus dans les abonnements existants. Si vous avez d'autres questions ou si vous souhaitez demander un devis, n'hésitez pas à nous contacter.

L'équipe SerNet Samba


SAMBA+ 4.19.1, 4.18.8 et 4.17.12 viennent d'être publiés. Les paquets pour diverses plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant. Remarque : il s'agit de mises à jour de sécurité, les paquets doivent être déployés dès que possible. Ces paquets corrigent plusieurs problèmes de sécurité.

  • CVE-2023-3961 Nom de pipe client non aseptisé transmis à local_np_connect()
  • CVE-2023-4154 dirsync autorise l'accès SYSTEM avec seulement le droit "GUID_DRS_GET_CHANGES", et non "GUID_DRS_GET_ALL_CHANGES".
  • CVE-2023-4091 Le client peut tronquer le fichier avec des permissions de lecture seule.
  • CVE-2023-42670 Le numéro de procédure est hors de portée lors du démarrage d'Active Directory Users and Computers.
  • CVE-2023-42669 rpcecho, activé et en cours d'exécution dans AD DC, permet de bloquer le sommeil sur demande.

En outre, la version 4.19.1 comprend des correctifs pour :

  • Bug 15491: Débordement de mémoire tampon avec les jetons de fraîcheur dans le KDC Heimdal

Contact us
Contact
Deutsch English Français