SAMBA+ 4.19.2-4 vient d'être publié par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.
https://www.samba.org/samba/history/samba-4.19.2.html
En plus des corrections mentionnées dans les notes de version ci-dessus, SAMBA+ contient également 2 corrections supplémentaires notables :
Un correctif pour Kerboros User2User TGS-REQ, qui peut empêcher les utilisateurs de récupérer des tickets pour eux-mêmes dans certaines conditions :
https://bugzilla.samba.org/show_bug.cgi?id=15492
La deuxième modification supplémentaire, qui corrige la permission du conteneur d'objets supprimés (CVE-2018-14628), est encore plus importante. Il est cependant nécessaire d'exécuter une commande pour corriger la permission, car les ACL sur le conteneur ne seront pas modifiées automatiquement. Voici ce qu'il faut faire pour corriger la permission :
==================================================
Action requise pour résoudre CVE-2018-14628
==================================================
La version corrigée de Samba ne protège PAS les domaines existants !
L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant :
samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix
Ce qui précède nécessite une interaction manuelle afin d'examiner les changements avant qu'ils ne soient appliqués. Les questions typiques se présentent comme suit :
Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
Owner mismatch: SY (in ref) DA(in current)
Group mismatch: SY (in ref) DA(in current)
Part dacl is different between reference and current here is the detail:
(A;;LCRPLORC;;;AU) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
(A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
(A;;LCRP;;;BA) ACE is not present in the current
[y/N/all/none] y
Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'
Le changement doit être confirmé par 'y' pour tous les objets commençant par 'CN=Deleted Objects'.
Les prochaines mises à jour des packages SAMBA+ 4.17 et 4.18 traiteront également la CVE-2018-14628.
Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels et peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont disponibles sur usdshop.samba.plus (devise : USD) ou shop.samba.plus (devise : EUR). Les nouveaux packages SAMBA+ sont inclus dans les abonnements existants. Si vous avez d'autres questions ou si vous souhaitez demander un devis, n'hésitez pas à nous contacter.
L'équipe SerNet Samba
