SAMBA+ 4.19.3-5 et SAMBA+ 4.18.9-9 viennent d'être publiés par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.
Veuillez consulter l'historique des versions ici:
- https://www.samba.org/samba/history/samba-4.19.3.html
- https://www.samba.org/samba/history/samba-4.18.9.html
Le correctif pour CVE-2018-14628, qui fait maintenant partie de la version 4.19.3 et 4.18.9 en amont, était déjà corrigé dans SAMBA+ 4.19.2 et SAMBA+ 4.18.8. Par souci d'exhaustivité, nous décrivons une fois de plus comment appliquer le correctif actuel pour la base de données AD. Si vous l'avez déjà fait lors de la précédente mise à jour de SAMBA+, vous n'avez pas besoin de refaire les étapes suivantes.
Action requise pour résoudre CVE-2018-14628
La version corrigée de Samba ne protège PAS les domaines existants!
L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant:
samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix
Ce qui précède nécessite une interaction manuelle afin d'examiner les modifications avant qu'elles ne soient appliquées. Les questions typiques sont les suivantes:
Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
Owner mismatch: SY (in ref) DA(in current)
Group mismatch: SY (in ref) DA(in current)
Part dacl is different between reference and current here is the detail:
(A;;LCRPLORC;;;AU) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
(A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
(A;;LCRP;;;BA) ACE is not present in the current
[y/N/all/none] y
Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org' Le changement doit être confirmé par "y" pour tous les objets commençant par
'CN=Deleted Objects'.
