SAMBA+
SerNet

Blog

SAMBA+ meta-data symlink vulnérabilités CVE-2021-43566 and CVE-2021-20316

SAMBA+ 4.13.16 vient d'être publié. Il s'agit d'une version de sécurité qui corrige CVE-2021-43566. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Toutes les versions du serveur de fichiers Samba antérieures à 4.15.0 sont affectées par CVE-2021-20316. Les versions de Samba antérieures à la version 4.15.0 ne peuvent pas être corrigées.

Veuillez mettre à jour les systèmes concernés dès que possible. Si possible, passez à la version 4.15 de SAMBA+, sinon consultez les notes de publication pour connaître les mesures d'atténuation possibles pour CVE-2021-20316.

Les paquets SAMBA+ sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer leurs identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

Appel à contribution pour sambaXP 2022
Tous les exposés pour sambaXP 2022 sont les bienvenus!

Update: En raison de la pandémie de Corona qui sévit actuellement, le comité d'organisation a décidé d'organiser à nouveau le sambaXP 2022 sous forme d'événement virtuel.

L'appel à contribution  pour la 21e sambaXP a officiellement commencé! SerNet accueillera la réunion annuelle de la communauté internationale samba du 31 mai au 2 juin 2022 à l'hôtel Freizeit In à Göttingen, en Allemagne. Les billets d'entrée pour la conférence sont déjà disponibles. Réservation des billets et plus d'informations sur le CfP ici: sambaxp.org.

Les billets pour la conférence (1 & 2 juin 2022) sont disponibles jusqu'au 28 février 2022 au prix "early bird" de 399 euros. Après cela, le prix normal est de 499 euros. En outre, des tutoriels sont prévus pour le 31 mai, au sujet desquels nous fournirons des informations à une date ultérieure. 

En l'état actuel des choses, il est prévu que la conférence se tienne à nouveau sur place. L'ensemble de l'équipe SerNet et Samba@SerNet se réjouit de revoir tout le monde à Göttingen. Néanmoins, nous surveillons continuellement la situation et nous re-déciderons si nécessaire en fonction des développements en cours.

Enregistrements de la SDC 2021: Samba VFS et Multi-Channel/io_uring
Ralph Böhme sur "La nouvelle Samba VFS

Les enregistrements de la Storage Developer Conference 2021 sont désormais en ligne, notamment ceux de l'équipe SerNet Samba. Ralph Böhme a parlé de "The new Samba VFS" et Stefan Metzmacher a présenté une mise à jour de l'état d'avancement de "Samba Multi-Channel/io_uring".

"Le nouveau Samba VFS" vidéo de Ralph Böhme est sur YouTube : https://youtu.be/D9EZO3gkT9U, sont également disponibles les slides.

Abstrait: À partir de la version 4.14, Samba fournit un code d'infrastructure de base qui permet de baser tous les accès au système de fichiers du serveur sur les handles de fichiers et non sur les chemins. Un exemple de ceci est l'utilisation de fstat() au lieu de stat(), ou SMB_VFS_FSTAT() au lieu de SMB_VFS_STAT() dans le langage Samba. Historiquement, le code du serveur de fichiers de Samba a dû traiter de nombreuses requêtes SMB basées sur le chemin. Alors que le protocole SMB lui-même a été rationalisé pour être purement basé sur les handle à partir de SMB2, de grandes parties du code de l'infrastructure restent en place pour "dégrader" les demandes SMB2 basées sur les handle en accès au système de fichiers basé sur les path. Afin de tirer pleinement parti de la nature du protocole SMB2, nous avons trouvé un moyen simple de convertir ce code d'infrastructure, de sorte qu'il puisse être converti pour utiliser une interface VFS purement basée sur les handle. L'exposé présente ce que nous avons réalisé jusqu'à présent et ce qu'il reste à faire. Son public visé est toute personne travaillant sur le code du serveur de fichiers Samba et toute personne travaillant sur les modules VFS Samba.

Le"Samba Multi-Channel/io_uring Status Update" de Stefan Metzmacher est également sur YouTube: https://youtu.be/fnA4imgBsUo, les diapositives sont disponibles.

Abstrait: Samba avait un support expérimental pour le multicanal pendant un certain temps. SMB3 a quelques concepts pour rejouer les demandes en toute sécurité. Nous les implémentons maintenant complètement (et dans certaines parties mieux qu'un serveur Windows). L'exposé expliquera comment nous avons implémenté les fonctionnalités manquantes. Avec l'augmentation du débit du réseau, nous atteindrons un point où les copies de données seront trop importantes pour un seul cœur de processeur. Cette présentation donne un aperçu de la façon dont l'infrastructure io_uring du noyau Linux pourrait être utilisée afin d'éviter la copie de données, ainsi que la répartition de la charge entre les cœurs de processeurs. Un prototype pour cela existe et montre d'excellents résultats.

SAMBA+ 4.15.2, 4.14.10 et 4.13.14 Security Releases

SAMBA+ 4.15.2, 4.14.10 et 4.13.14 viennent d'être publiés par SerNet. Il s'agit de mises à jour de sécurité importantes. Veuillez mettre à jour les systèmes concernés dès que possible. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Les paquets corrigent les problèmes suivants:

  • CVE-2020-25717: A user in an AD Domain could become root on domain members.
  • CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
  • CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
  • CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid).
  • CVE-2020-25722: Samba AD DC did not do sufficient access and conformance checking of data stored. 
  • CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication.
  • CVE-2021-3738: Use after free in Samba AD DC RPC server.
  • CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability.

NOTES IMPORTANTES:

Cette version introduit quelques ajustements comportementaux qui peuvent affecter les systèmes existants. Des modifications supplémentaires de la configuration peuvent être nécessaires.

Un nouveau paramètre smb.conf "min domain uid" (valeur par défaut 1000) a été ajouté. Par défaut, aucun uid UNIX inférieur à cette valeur n'est accepté. Veuillez vérifier la configuration de votre mappage d'ID.

Le remplacement de 'DOMAIN\user' par 'user' a également été supprimé car il est dangereux et inutile lors de l'utilisation de nss_winbind (même si 'winbind use default domain = yes' est défini).

Cependant, il existe des configurations qui ne sont connectées qu'à un domaine Active Directory pour l'authentification, mais l'autorisation est gérée sans nss_winbind en faisant correspondre le compte du domaine à un utilisateur local fourni par nss_file, nss_ldap ou quelque chose de similaire. NOTE : Ces configurations ne fonctionnent plus sans mappage explicite des utilisateurs!

Pour ces configurations, les administrateurs doivent utiliser l'option 'username map' ou 'username map script' pour faire correspondre explicitement les utilisateurs du domaine aux utilisateurs locaux, par exemple user = DOMAIN\user.

Pour plus de détails sur 'username map' ou 'username map script', voir 'man 5 smb.conf'. Notez également que dans l'exemple ci-dessus, '\' fait référence à la valeur par défaut de l'option 'winbind separator'.

Il y a une régression avec l'option smb.conf 'allow trusted domains = no'. Il empêche le service winbind de démarrer. Nous fournirons un correctif dès que possible.

De plus, les paquets 4.15.2 corrigent les problèmes suivants:

  • Bug 14890: Crash in vfs_fruit asking for fsp_get_io_fd() for an XATTR call. 
  • Bug 14846: Fix -k legacy option for client tools like smbclient, rpcclient, net, etc. 
  • Bug 14882: smbXsrv_client_global record validation leads to crash if existing record points at non-existing process.

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

SAMBA+ 4.15.3 est prêt à être téléchargé

SAMBA+ 4.15.3 vient d'être publié par SerNet. Les paquets pour les différentes plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont
disponibles dès maintenant.

Ces paquets traitent plusieurs problèmes, qui sont répertoriés dans le Samba 4.15.3 release notes.

Veuillez noter que la solution de contournement 'username map [script]', qui était requise pour certaines configurations après la publication de la version 4.15.2 (CVE-2020-25717), n'est plus nécessaire depuis les versions SAMBA+ 4.15.2-7 (paquets deb et rpm). Des informations détaillées figurent dans l'annonce CVE-2020-25717.

En outre, les nouveaux paquets 4.15.3 traitent les problèmes suivants:

  •   Bug 12449: Éviter la récursion dans le gui d'administration de windows dns
  •   Bug 14927: sysvolcheck and sysvolreset don't handle deny ACEs

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés sur la boutique SAMBA+, les informations détaillées et les prix sont indiqués à l'adresse https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer les identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

Contact us
Contact
Deutsch English Français