SAMBA+
SerNet

Blog

SAMBA+ 4.15.2, 4.14.10 et 4.13.14 Security Releases

SAMBA+ 4.15.2, 4.14.10 et 4.13.14 viennent d'être publiés par SerNet. Il s'agit de mises à jour de sécurité importantes. Veuillez mettre à jour les systèmes concernés dès que possible. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Les paquets corrigent les problèmes suivants:

  • CVE-2020-25717: A user in an AD Domain could become root on domain members.
  • CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
  • CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
  • CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid).
  • CVE-2020-25722: Samba AD DC did not do sufficient access and conformance checking of data stored. 
  • CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication.
  • CVE-2021-3738: Use after free in Samba AD DC RPC server.
  • CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability.

NOTES IMPORTANTES:

Cette version introduit quelques ajustements comportementaux qui peuvent affecter les systèmes existants. Des modifications supplémentaires de la configuration peuvent être nécessaires.

Un nouveau paramètre smb.conf "min domain uid" (valeur par défaut 1000) a été ajouté. Par défaut, aucun uid UNIX inférieur à cette valeur n'est accepté. Veuillez vérifier la configuration de votre mappage d'ID.

Le remplacement de 'DOMAIN\user' par 'user' a également été supprimé car il est dangereux et inutile lors de l'utilisation de nss_winbind (même si 'winbind use default domain = yes' est défini).

Cependant, il existe des configurations qui ne sont connectées qu'à un domaine Active Directory pour l'authentification, mais l'autorisation est gérée sans nss_winbind en faisant correspondre le compte du domaine à un utilisateur local fourni par nss_file, nss_ldap ou quelque chose de similaire. NOTE : Ces configurations ne fonctionnent plus sans mappage explicite des utilisateurs!

Pour ces configurations, les administrateurs doivent utiliser l'option 'username map' ou 'username map script' pour faire correspondre explicitement les utilisateurs du domaine aux utilisateurs locaux, par exemple user = DOMAIN\user.

Pour plus de détails sur 'username map' ou 'username map script', voir 'man 5 smb.conf'. Notez également que dans l'exemple ci-dessus, '\' fait référence à la valeur par défaut de l'option 'winbind separator'.

Il y a une régression avec l'option smb.conf 'allow trusted domains = no'. Il empêche le service winbind de démarrer. Nous fournirons un correctif dès que possible.

De plus, les paquets 4.15.2 corrigent les problèmes suivants:

  • Bug 14890: Crash in vfs_fruit asking for fsp_get_io_fd() for an XATTR call. 
  • Bug 14846: Fix -k legacy option for client tools like smbclient, rpcclient, net, etc. 
  • Bug 14882: smbXsrv_client_global record validation leads to crash if existing record points at non-existing process.

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

SAMBA+ 4.15.3 est prêt à être téléchargé

SAMBA+ 4.15.3 vient d'être publié par SerNet. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont
disponibles dès maintenant.

Ces paquets traitent plusieurs problèmes, qui sont répertoriés dans le Samba 4.15.3 release notes.

Veuillez noter que la solution de contournement 'username map [script]', qui était requise pour certaines configurations après la publication de la version 4.15.2 (CVE-2020-25717), n'est plus nécessaire depuis les versions SAMBA+ 4.15.2-7 (paquets deb et rpm). Des informations détaillées figurent dans l'annonce CVE-2020-25717.

En outre, les nouveaux paquets 4.15.3 traitent les problèmes suivants:

  •   Bug 12449: Éviter la récursion dans le gui d'administration de windows dns
  •   Bug 14927: sysvolcheck and sysvolreset don't handle deny ACEs

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués à l'adresse https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

Les versions 41411 et 41315 de SAMBA+ publiées

L'équipe Samba de SerNet a publié SAMBA+ 4.14.11 et 4.13.15. Les paquets pour diverses plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Ces paquets traitent plusieurs problèmes, qui sont énumérés dans les notes de publication:

Veuillez noter que la solution de contournement 'username map [script]', qui était requise pour certaines configurations après la publication des versions 4.14.10 et 4.13.14 (CVE-2020-25717), n'est plus nécessaire. Des informations détaillées sont incluses dans l'annonce CVE-2020-25717.

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

ksmbd: un nouveau serveur SMB intégré au noyau
ksmbd vs. Samba

"ksmbd" est un nouveau module du noyau Linux qui implémente un serveur SMB. Il vise à être un serveur de fichiers performant, à faible encombrement, couvrant de nombreux cas d'utilisation de base, le fonctionnement sur des appareils plus petits avec des ressources limitées étant le plus apparent : OpenWRT, la distribution Linux pour les appareils embarqués, a adopté ksmbd il y a déjà 18 mois, alors que ksmbd était encore en cours de développement.

ksmbd a frappé le public en novembre 2021 dans le cadre de la prochaine version 5.15 du noyau Linux. Il n'est pas destiné à remplacer le serveur de fichiers Samba existant "smbd", mais plutôt à être une extension et s'intégrera à Samba à l'avenir. Le serveur de fichiers de Samba "smbd" a une portée beaucoup plus large et prend en charge divers cas d'utilisation et fonctionnalités que ksmbd ne prend pas en charge:

  • Exécution en tant que membre du domaine Active Directory
  • Scale-out clustering
  • Optimiser pour des systèmes de fichiers spécifiques comme GlusterFS ou Ceph via des modules VFS dédiés
  • Prise en charge de Shadow Copy

Bien qu'il s'agisse d'un serveur SMB3 majoritairement complet en termes de fonctionnalités, ne manquant que certaines fonctionnalités avancées comme les Handles durables, les baux de répertoire et le multicanal, ksmbd ne peut actuellement faire usage que des utilisateurs et des mots de passe locaux, ce qui exclut toute utilisation dans les environnements d'entreprise où l'on utilise généralement Active Directory ou des sources d'identité similaires.

ksmbd revendique des améliorations de performances sur un large éventail de benchmarks: les graphiques de cette page montrent un doublement des performances sur certains tests. Il y avait aussi l'idée qu'un serveur in-kernel est probablement un endroit plus facile pour prendre en charge SMB Direct, qui utilise RDMA pour transférer des données entre les systèmes.

Certes, ces chiffres sont impressionnants, mais en même temps, les récentes améliorations des performances IO de Samba remettent cela en perspective : en exploitant la nouvelle API Linux "io_uring", Samba est capable de fournir un débit environ 10 fois supérieur à celui de ksmbd.

Le temps nous dira s'il est préférable de résider dans l'espace noyau comme ksmbd ou dans l'espace utilisateur comme Samba afin d'extraire le dernier morceau de performance du matériel disponible.

Quelle est la maturité de ksmbd? Étant donné qu'il a été principalement développé par un ingénieur de Samsung, il est probable qu'il soit utilisé dans les produits Samsung aujourd'hui. Cependant, la version de novembre est une version .0 avec toutes les mises en garde qui l'accompagnent. Certains des détails, y compris divers problèmes de sécurité qui ont été trouvés et corrigés assez tardivement, sont décrits dans un article sur LWN.

Tout compte fait, ksmbd est un travail impressionnant et afin de faciliter et d'encourager la collaboration, le principal développeur de ksmbd, Namjae Jeon, a été invité à rejoindre l'équipe l'équipe internationale Samba. ksmbd ajoute déjà des capacités intéressantes au mélange et l'équipe SerNet de Samba est impatiente de travailler avec et sur ksmbd!

SAMBA+ 4.13.13 disponible au téléchargement

Les versions 4.13.13 de SAMBA+ viennent d'être publiées par SerNet. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Les notes de mise à jour sont disponibles ici:

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

Contact us
Contact
Deutsch English Français