Blog

SAMBA+ 4.19.2-4 vient d'être publié par l'équipe Samba de SerNet. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

https://www.samba.org/samba/history/samba-4.19.2.html

En plus des corrections mentionnées dans les notes de version ci-dessus, SAMBA+ contient également 2 corrections supplémentaires notables :

Un correctif pour Kerboros User2User TGS-REQ, qui peut empêcher les utilisateurs de récupérer des tickets pour eux-mêmes dans certaines conditions :

https://bugzilla.samba.org/show_bug.cgi?id=15492

La deuxième modification supplémentaire, qui corrige la permission du conteneur d'objets supprimés (CVE-2018-14628), est encore plus importante. Il est cependant nécessaire d'exécuter une commande pour corriger la permission, car les ACL sur le conteneur ne seront pas modifiées automatiquement. Voici ce qu'il faut faire pour corriger la permission :

==================================================
Action requise pour résoudre CVE-2018-14628
==================================================

La version corrigée de Samba ne protège PAS les domaines existants !

L'administrateur doit exécuter la commande suivante (sur un seul contrôleur de domaine) afin d'appliquer la protection à un domaine existant :

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Ce qui précède nécessite une interaction manuelle afin d'examiner les changements avant qu'ils ne soient appliqués. Les questions typiques se présentent comme suit :

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Le changement doit être confirmé par 'y' pour tous les objets commençant par 'CN=Deleted Objects'.

Les prochaines mises à jour des packages SAMBA+ 4.17 et 4.18 traiteront également la CVE-2018-14628.

Les paquets SAMBA+ sont disponibles sous forme d'abonnements logiciels et peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont disponibles sur usdshop.samba.plus (devise : USD) ou shop.samba.plus (devise : EUR). Les nouveaux packages SAMBA+ sont inclus dans les abonnements existants. Si vous avez d'autres questions ou si vous souhaitez demander un devis, n'hésitez pas à nous contacter.

L'équipe SerNet Samba


SAMBA+ 4.19.1, 4.18.8 et 4.17.12 viennent d'être publiés. Les paquets pour diverses plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant. Remarque : il s'agit de mises à jour de sécurité, les paquets doivent être déployés dès que possible. Ces paquets corrigent plusieurs problèmes de sécurité.

  • CVE-2023-3961 Nom de pipe client non aseptisé transmis à local_np_connect()
  • CVE-2023-4154 dirsync autorise l'accès SYSTEM avec seulement le droit "GUID_DRS_GET_CHANGES", et non "GUID_DRS_GET_ALL_CHANGES".
  • CVE-2023-4091 Le client peut tronquer le fichier avec des permissions de lecture seule.
  • CVE-2023-42670 Le numéro de procédure est hors de portée lors du démarrage d'Active Directory Users and Computers.
  • CVE-2023-42669 rpcecho, activé et en cours d'exécution dans AD DC, permet de bloquer le sommeil sur demande.

En outre, la version 4.19.1 comprend des correctifs pour :

  • Bug 15491: Débordement de mémoire tampon avec les jetons de fraîcheur dans le KDC Heimdal

L'équipe Samba de SerNet a publié SAMBA+ 4.19.0. Des paquets pour différentes plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant.

Il s'agit de la première version stable de SAMBA+ de la nouvelle série de versions de Samba 4.19. Veuillez tester minutieusement et lire attentivement les notes de mise à jour avant de procéder à la mise à niveau ! Les notes de publication, qui contiennent des informations sur les changements et les nouvelles fonctionnalités de la version majeure, sont disponibles ici: 

En outre, SAMBA+ 4.18.7 a été publié. Il s'agit d'une version de correction de bugs, vous trouverez les détails ici:

Avec la nouvelle version 4.19, Samba 4.18 est passé en "Maintenance Mode" et Samba 4.17 en "Security Fixes Only Mode". Samba 4.16 ne recevra plus de mises à jour à partir de cette date. Les dépôts SAMBA+ 4.16 seront prochainement désactivés. Veuillez mettre à jour vers une version plus récente de SAMBA+.

Veuillez noter : une erreur a été observée dans l'interaction avec les contrôleurs de domaine Active Directory exécutant des versions mixtes de Samba : Si vous mettez à jour seulement quelques DCs vers 4.19 et que d'autres continuent à fonctionner avec 4.18 ou plus ancien, ces versions plus anciennes ont rencontré un assert, voir les informations détaillées sur le bug. Pour cette raison, nous avons publié nos paquets SAMBA+ 4.19 plus tard, jusqu'à ce que nous puissions également fournir des paquets corrigés pour 4.16, 4.17 et 4.18. Si vous souhaitez installer un DC 4.19 avec d'autres DC SAMBA+ utilisant des versions antérieures à 4.19, assurez-vous de les mettre à jour vers la dernière version corrigée de 4.18/4.17/4.16 que nous avons publiée aujourd'hui (4.18.7-9, 4.17.11-28 et 4.16.11-26). Cela n'affecte pas les installations de serveurs membres. 

Les paquets 4.16 seront bientôt retirés du serveur, car les versions 4.17, 4.18 et 4.19 seront désormais les branches de version prises en charge.

Pour plus de détails sur la mise à niveau vers la nouvelle version de SAMBA+, consultez la collection SAMBA+ HowTo.


Les paquets logiciels SAMBA+ 4.17.11 viennent d'être publiés par SerNet. Ils sont disponibles dès maintenant pour différentes plates-formes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.

Ces paquets corrigent plusieurs problèmes énumérés dans les notes de publication:
https://www.samba.org/samba/history/samba-4.17.11.html

La procédure d'accès aux progiciels SAMBA+ a changé. Veuillez consulter notre SAMBA+ HowTo pour en savoir plus. 


Rapport de laboratoire: Microsoft Exchange 2019 et Samba Active Directory

L'équipe Samba chez SerNet a récemment organisé un atelier interne afin de faire avancer la compatibilité de Microsoft Exchange 2019 avec Samba Active Directory. Parmi les participants figuraient Stefan Metzmacher, Björn Jacke et Ralph Böhme - tous membres de longue date de l'équipe internationale Samba. Afin de partager les progrès réalisés avec la communauté Samba, voici un bref rapport du laboratoire expérimental. L'équipe se fera également un plaisir de répondre à toutes les questions concernant le projet.

Le voyage a commencé par un obstacle de taille : Des problèmes de synchronisation de l'heure NTP sur les contrôleurs de domaine (DC) Windows au sein de la structure de test. L'équipe a réussi à résoudre le problème après quelques tentatives, mais s'est heurtée à un nouvel obstacle lorsque Exchange a refusé de démarrer dans l'environnement Samba. Après plusieurs heures d'examen des logs et beaucoup de prise de tête, l'équipe a découvert qu'Exchange essayait d'interroger l'attribut LDAP "ntSecurityDescriptor" de l'objet cn=Configuration. Étonnamment, Samba a renvoyé un résultat vide, contrairement à un DC de Windows qui a renvoyé l'attribut.

Après une analyse approfondie, l'équipe a trouvé la cause: une prise en charge incomplète des objets de stratégie de groupe (GPO) sur les CD Samba. Le GPO qui devait accorder une autorisation supplémentaire au compte de domaine Exchange n'avait pas été appliqué. Par conséquent, Samba refusait à juste titre de renvoyer l'attribut ntSecurityDescriptor.

L'octroi manuel du privilège manquant a résolu le problème et Exchange a fonctionné. Des tests ultérieurs, au cours desquels des comptes ont été créés et des courriels échangés, ont confirmé le succès initial. "Nous avons été vraiment enthousiasmés par le résultat", déclare Ralph Böhme, chef d'équipe Samba chez SerNet. En identifiant les problèmes sous-jacents et en prenant les mesures nécessaires, lui et son équipe ont réussi à connecter Microsoft Exchange 2019 et Samba Active Directory. L'interopérabilité ainsi obtenue n'était pas le fruit du hasard, mais le résultat d'une planification approfondie, de tests systématiques et d'une recherche patiente des erreurs. Böhme poursuit : "L'atelier a montré ce que nous pouvons réaliser lorsque nous mettons en commun notre expérience de Samba et que nous surmontons ensemble les défis techniques." 

Ce succès intermédiaire est une étape dans l'objectif de SerNet de ne pas seulement améliorer les caractéristiques et les fonctionnalités de Samba, mais de contribuer à en faire un outil précieux pour les entreprises et les organisations du monde entier. L'équipe se réjouit de continuer à partager ses progrès et à travailler en étroite collaboration avec la communauté Samba pour atteindre la vision d'une interopérabilité totale entre Samba AD et Exchange.


Contact us
Contact
Deutsch English Français