Blog

Les paquets SAMBA+ 4.12.7, 4.11.13 et 4.10.18 viennent d'être publiés par SerNet. Il s'agit de versions de sécurité importantes concernant "ZeroLogon". Veuillez mettre à jour les systèmes affectés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Les paquets traitent le problème suivant:

• Prise de contrôle de domaine non authentifié via netlogon ("ZeroLogon")
  Un attaquant non authentifié sur le réseau peut obtenir un accès administrateur en exploitant une faille du protocole netlogon.
  https://www.samba.org/samba/security/CVE-2020-1472.html

Les nouveaux paquets SAMBA+ 4.12.7 traitent également le problème suivant:

• Bug 14399 Remplissage de la RAM du serveur lors de l'écriture sur le partage depuis macOS
  https://bugzilla.samba.org/show_bug.cgi?id=14399

Les paquets rpm sernet-samba sont signés avec la clé de construction gpg de SerNet pour garantir leur authenticité. Si vous avez installé le paquet clé sernet-build-key-1.4-8, la vérification peut échouer en raison d'un problème de rpm. Après avoir installé la nouvelle version sernet-build-key-1.4-9, le problème doit être corrigé manuellement.

Si vous êtes concerné, veuillez d'abord supprimer les clés SerNet Samba du trousseau de clés rpm avec la commande suivante:
# rpm --allmatches -e gpg-pubkey-f4428b1a
# rpm --allmatches -e gpg-pubkey-1b6d0337

Ensuite, utilisez la commande suivante pour importer la clé dans le trousseau de clés rpm:
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-F4428B1A \
    /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-1B6D0337

Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés dans la boutique SAMBA+, des informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer leurs identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.

L'équipe Samba a été informée d'un problème qui s'applique à Samba utilisé comme contrôleur de domaine uniquement (à la fois en tant que DC classique/NT4 et en tant que DC de directive active). Veuillez lire attentivement le texte suivant, que nous publions également ici: 

Des utilisateurs de Samba ont signalé que l'exploit pour "ZeroLogin" passe contre Samba. Samba dispose d'une certaine protection contre ce problème car, depuis Samba 4.8, la valeur par défaut est 'server schannel = yes'. Les utilisateurs qui ont modifié cette valeur par défaut sont avertis par la présente que Samba implémente fidèlement le protocole AES de connexion au réseau et qu'il est donc victime du même défaut dans la conception du système de cryptage.

Les fournisseurs prenant en charge Samba 4.7 et les versions inférieures doivent mettre à jour leurs installations et leurs paquets pour modifier cette valeur par défaut, comme les valeurs de:

• server schannel = no
• server schannel = auto

ne sont PAS sûres et nous pensons qu'elles peuvent entraîner la compromission d'un domaine complet, en particulier pour les domaines AD.

Certains tests d'exploitation publics, tels que https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py confirment uniquement qu'un appel ServerAuthenticate3 fonctionne, mais pas que l'appel ServerPasswordSet2 nécessaire pour exploiter le domaine fonctionne également.

Comme Microsoft, nous suggérons que "server schannel = yes" soit défini pour un fonctionnement sécurisé. Il s'agit de notre équivalent de la clé de registre FullSecureChannelProtection=1 de Microsoft, à la différence qu'elle est déjà activée par défaut dans toutes les versions majeures de Samba publiées au cours des trois dernières années.

Enfin, notons que la journalisation de l'audit de Samba enregistrera les appels ServerAuthenticate3 et ServerPasswordSet, y compris l'IP source, des détails seront fournis plus tard sur les options à activer.

Il semble que certains logiciels anciens exigent toujours "server schannel = auto". Voir les bogues suivants:

• https://bugzilla.samba.org/show_bug.cgi?id=11892
• https://bugzilla.samba.org/show_bug.cgi?id=13464
• https://bugzilla.samba.org/show_bug.cgi?id=13949

Nous allons ajouter un renforcement supplémentaire qui permettra aux administrateurs d'utiliser "server schannel = yes" de manière globale et de définir des exceptions uniquement pour des comptes informatiques spécifiques. Notre progression peut être suivie via ce bogue: https://bugzilla.samba.org/show_bug.cgi?id=14497

Cette année, la Storage Developer Conference (22-23 septembre 2020) sera un événement virtuel. Volker Ledecke et Stefan Metzmacher ont déjà préenregistré des conférences pour la piste de l'agenda SMB.

Volker Lendecke parlera de "l'architecture de verrouillage de Samba". Lendecke est co-fondateur de SerNet, développeur et membre de longue date de l'équipe Samba. 

Le sujet de Stefan Metzmacher sera "Samba Multi-Channel/io_uring Status Update". Il travaille comme développeur chez SerNet et est également membre de l'équipe Samba. 

Les deux exposés seront disponibles dans le cadre des "Day 1 Breakout Sessions" à partir de 11 h 20 PDT (20 h 20 Uhr CEST). 

Christof Schmitt parle des "Leçons tirées de l'utilisation de Samba dans IBM Spectrum Scale" dans cette conférence sambaXP 2020. Il est membre de l'équipe internationale Samba depuis 2013 et travaille comme ingénieur logiciel Spectrum Scale pour IBM à Tucson, Arizona (LinkedIn).

Résumé

IBM Spectrum Scale est une offre de stockage défini par logiciel d'un système de fichiers en cluster regroupé avec d'autres services. Samba est inclus dans le produit pour fournir un serveur de fichiers SMB en cluster et une intégration dans Active Directory. Cet exposé aborde, du point de vue du développement, l'intégration de Samba dans un produit de stockage et ce que l'équipe de développement a appris au fil des ans. Les sujets abordés comprennent la nécessité d'effectuer des tests automatisés à plusieurs niveaux et la collaboration avec le projet Samba en amont. Des exemples illustrent les problèmes rencontrés au fil du temps et la manière dont ils ont été résolus. D'autres sujets sont les défis qui ont été résolus et les lacunes qui ont été observées dans l'utilisation de Samba.

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).

Dans cet exposé sur sambaXP 2020, Ingo Meents présente les cas d'utilisation et les exigences des clients d'entreprise pour le serveur de fichiers Samba dans IBM Spectrum Scale. Meents est Protocol Tribe Lead chez IBM Germany Research & Development GmbH.

Résumé

IBM a déployé Samba dans le cadre de solutions de stockage de fichiers depuis de nombreuses années maintenant. Le produit actuel d'IBM s'appelle Spectrum Scale et fournit Samba en cluster à une base mondiale d'entreprises clientes, au-dessus du système de fichiers en cluster d'IBM connu sous le nom de gpfs.

La première partie de l'exposé décrit une sélection d'exigences, de cas d'utilisation et d'améliorations que cette mission a entraînés au cours des dernières années. Cela inclut des sujets comme la contention des fichiers, les listes de contrôle d'accès et le support Mac.

La deuxième partie de l'exposé aborde les nouvelles exigences en matière de mappage d'identité, comme la résolution de groupe côté serveur pour les clients NFS et la demande croissante d'ajouter sssd aux nœuds de serveur Samba en grappe.

Á propos de la "rétrospective 2020 de sambaXP"

Dans cette série, nous présenterons des enregistrements de la sambaXP 2020 du mois à venir. La 19e édition de la conférence internationale sur le logiciel open source Samba a eu lieu du 26 au 28 mai 2020 pour la première fois exclusivement sous forme numérique. En raison du changement de format de l'événement et de l'utilisation d'une plateforme de conférence en ligne, l'organisateur SerNet est en mesure de proposer tous les exposés sous forme de vidéos à visionner (lien).