Blog

SAMBA+ 4.19.3-5 et SAMBA+ 4.18.9-9 viennent d'être publiés par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Veuillez consulter l'historique des versions ici:

Le correctif pour CVE-2018-14628, qui fait maintenant partie de la version 4.19.3 et 4.18.9 en amont, était déjà corrigé dans SAMBA+ 4.19.2 et SAMBA+ 4.18.8. Par souci d'exhaustivité, nous décrivons une fois de plus comment appliquer le correctif actuel pour la base de données AD. Si vous l'avez déjà fait lors de la précédente mise à jour de SAMBA+, vous n'avez pas besoin de refaire les étapes suivantes.

Action requise pour résoudre CVE-2018-14628

La version corrigée de Samba ne protège PAS les domaines existants!

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les modifications avant qu'elles ne soient appliquées. Les questions typiques sont les suivantes:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org' 

Le changement doit être confirmé par "y" pour tous les objets commençant par

'CN=Deleted Objects'.


SAMBA+ 4.19.2-4 vient d'être publié par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

https://www.samba.org/samba/history/samba-4.19.2.html

En plus des corrections mentionnées dans les notes de version ci-dessus, SAMBA+ contient également 2 corrections supplémentaires notables :

Un correctif pour Kerboros User2User TGS-REQ, qui peut empêcher les utilisateurs de récupérer des tickets pour eux-mêmes dans certaines conditions :

https://bugzilla.samba.org/show_bug.cgi?id=15492

La deuxième modification supplémentaire, qui corrige la permission du conteneur d'objets supprimés (CVE-2018-14628), est encore plus importante. Il est cependant nécessaire d'exécuter une commande pour corriger la permission, car les ACL sur le conteneur ne seront pas modifiées automatiquement. Voici ce qu'il faut faire pour corriger la permission :

==================================================
Action requise pour résoudre CVE-2018-14628
==================================================

La version corrigée de Samba ne protège PAS les domaines existants !

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant :

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les changements avant qu'ils ne soient appliqués. Les questions typiques se présentent comme suit :

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Le changement doit être confirmé par 'y' pour tous les objets commençant par 'CN=Deleted Objects'.

Les prochaines mises à jour des packages SAMBA+ 4.17 et 4.18 traiteront également la CVE-2018-14628.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels et peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont disponibles sur usdshop.samba.plus (devise : USD) ou shop.samba.plus (devise : EUR). Les nouveaux packages SAMBA+ sont inclus dans les abonnements existants. Si vous avez d'autres questions ou si vous souhaitez demander un devis, n'hésitez pas à nous contacter.

L'équipe SerNet Samba


SAMBA+ 4.19.1, 4.18.8 et 4.17.12 viennent d'être publiés. Les paquets pour diverses plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant. Remarque : il s'agit de mises à jour de sécurité, les paquets doivent être déployés dès que possible. Ces paquets corrigent plusieurs problèmes de sécurité.

  • CVE-2023-3961 Nom de pipe client non aseptisé transmis à local_np_connect()
  • CVE-2023-4154 dirsync autorise l'accès SYSTEM avec seulement le droit "GUID_DRS_GET_CHANGES", et non "GUID_DRS_GET_ALL_CHANGES".
  • CVE-2023-4091 Le client peut tronquer le fichier avec des permissions de lecture seule.
  • CVE-2023-42670 Le numéro de procédure est hors de portée lors du démarrage d'Active Directory Users and Computers.
  • CVE-2023-42669 rpcecho, activé et en cours d'exécution dans AD DC, permet de bloquer le sommeil sur demande.

En outre, la version 4.19.1 comprend des correctifs pour :

  • Bug 15491: Débordement de mémoire tampon avec les jetons de fraîcheur dans le KDC Heimdal

L'équipe Samba de SerNet a publié SAMBA+ 4.19.0. Des paquets pour différentes plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Il s'agit de la première version stable de SAMBA+ de la nouvelle série de versions de Samba 4.19. Veuillez tester minutieusement et lire attentivement les notes de mise à jour avant de procéder à la mise à niveau ! Les notes de publication, qui contiennent des informations sur les changements et les nouvelles fonctionnalités de la version majeure, sont disponibles ici: 

En outre, SAMBA+ 4.18.7 a été publié. Il s'agit d'une version de correction de bugs, vous trouverez les détails ici:

Avec la nouvelle version 4.19, Samba 4.18 est passé en "Maintenance Mode" et Samba 4.17 en "Security Fixes Only Mode". Samba 4.16 ne recevra plus de mises à jour à partir de cette date. Les dépôts SAMBA+ 4.16 seront prochainement désactivés. Veuillez mettre à jour vers une version plus récente de SAMBA+.

Veuillez noter : une erreur a été observée dans l'interaction avec les contrôleurs de domaine Active Directory exécutant des versions mixtes de Samba : Si vous mettez à jour seulement quelques DCs vers 4.19 et que d'autres continuent à fonctionner avec 4.18 ou plus ancien, ces versions plus anciennes ont rencontré un assert, voir les informations détaillées sur le bug. Pour cette raison, nous avons publié nos paquets SAMBA+ 4.19 plus tard, jusqu'à ce que nous puissions également fournir des paquets corrigés pour 4.16, 4.17 et 4.18. Si vous souhaitez installer un DC 4.19 avec d'autres DC SAMBA+ utilisant des versions antérieures à 4.19, assurez-vous de les mettre à jour vers la dernière version corrigée de 4.18/4.17/4.16 que nous avons publiée aujourd'hui (4.18.7-9, 4.17.11-28 et 4.16.11-26). Cela n'affecte pas les installations de serveurs membres. 

Les paquets 4.16 seront bientôt retirés du serveur, car les versions 4.17, 4.18 et 4.19 seront désormais les branches de version prises en charge.

Pour plus de détails sur la mise à niveau vers la nouvelle version de SAMBA+, consultez la collection SAMBA+ HowTo.


Les paquets logiciels SAMBA+ 4.17.11 viennent d'être publiés par SerNet. Ils sont disponibles dès maintenant pour différentes plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Ces paquets corrigent plusieurs problèmes énumérés dans les notes de publication:
https://www.samba.org/samba/history/samba-4.17.11.html

La procédure d'accès aux progiciels SAMBA+ a changé. Veuillez consulter notre SAMBA+ HowTo pour en savoir plus. 


Contact us
Contact
Deutsch English Français