E foi lançado o Samba 4.13 com uma solução para a vulnerabilidade ZeroLogon. Confira as novidades e veja com instalar no seu sistema Linux.
Samba é um projeto que oferece uma implementação completa de um controlador de domínio e serviço Active Directory, compatível com a implementação do Windows 2000 e capaz para atender a todas as versões de clientes Windows com suporte da Microsoft, incluindo o Windows 10.
O Samba 4, é um produto servidor multifuncional, que também oferece a implementação de servidor de arquivos, serviço de impressão e servidor de autenticação (winbind).
Ele atua como um serviço oferecendo uma implementação completa de um controlador e serviço de domínio do Active Directory, compatível com a implementação do Windows 2000 e capaz de servir todas as versões dos clientes Windows compatíveis com a Microsoft, incluindo o Windows 10.
Agora, a caba de ser anunciado o lançamento da nova versão de um dos principais servidores de arquivos da atualidade, o Samba 4.13.
Novidades do Samba 4.13
Samba 4.13 é uma versão em que se adiciona a solução para a vulnerabilidade detectada há poucos dias pelo ZeroLogon (CVE-2020-1472), além dos requisitos desta nova versão Python já mudou para a versão 3.6 e também outras mudanças.
Nesta nova versão do protocolo, a solução para a vulnerabilidade ZeroLogon (CVE-2020-1472) foi adicionada, o que pode permitir que um invasor obtenha direitos de administrador em um controlador de domínio em sistemas que não usam a configuração “server schannel=yes”.
Outra mudança que foi feita nesta nova versão do Samba é que os requisitos mínimos para Python foram aumentados de Python 3.5 para Python 3.6.
Embora a capacidade de construir um servidor de arquivos com Python 2 ainda seja preservada (antes de executar ./configure ‘e’ make ‘, você precisa definir a variável de ambiente ‘PYTHON=python2’), mas no próximo ramo ela será removida e Python 3.6 será necessário para a compilação.
Por outro lado, a funcionalidade “links largos = sim”, que permite aos administradores de servidor de arquivos criar links simbólicos para uma área fora da partição SMB/CIFS atual, foi movida de smbd para um módulo “vfs_widelinks” separado.
Atualmente, este módulo é carregado automaticamente se houver um parâmetro “wide links = yes” na configuração.
O suporte para “links largos = sim” está planejado para ser removido no futuro devido a questões de segurança, e os usuários do samba são fortemente aconselhados a usar “mount –bind” para montar partes externas do sistema de arquivos em vez de “wide links = yes”.
“Observe que os desenvolvedores do Samba recomendam alterar todas as instalações que atualmente usam “wide links = yes” para usar montagens de links o mais rápido possível, pois “links largos = sim” é uma configuração inerentemente insegura que gostaríamos de remover do Samba. . Mover o recurso para um módulo VFS permite que isso seja feito de uma forma mais limpa no futuro.”
orte ao controlador de domínio do modo clássico foi preterido. Os usuários de controladores de domínio do tipo NT4 (‘clássicos’) devem migrar para os controladores de domínio Samba Active Directory para trabalhar com clientes Windows modernos.
Os métodos de autenticação inseguros que só podem ser usados com SMBv1 estão obsoletos: “logins de domínio”, “autenticação NTLMv2 bruta”, “autenticação de texto simples do cliente”, “autenticação do cliente NTLMv2”, “autenticação cliente lanman “e” uso do cliente spnego “.
Além disso, o suporte para a opção “ldap ssl ads” do smb.conf foi removido. A próxima versão deve remover a opção “canal do servidor”.
Das outras mudanças que se destacam, está a eliminação de:
- Anúncios Ldap SSL removidos;
- smb2 desativa a verificação da sequência de bloqueio;
- smb2 desativar nova tentativa de quebra de bloqueio;
- logins de domínio;
- autenticação NTLMv2 bruta;
- autenticação de texto simples do cliente;
- Cliente de autenticação NTLMv2;
- cliente de autenticação lanman;
- Usando o cliente spnego;
- Um canal do servidor será removido na versão 4.13.0;
- A opção obsoleta smb.conf “ldap ssl ads” foi removida.
- A opção obsoleta “server schannel” smb.conf provavelmente foi removida na versão final 4.13.0.
Para saber mais sobre essa versão do Samba, acesse a nota de lançamento.
Como instalar ou atualizar o Samba 4.13
Para instalar a versão mais recente do Samba nas principais distribuições Linux, apenas aguarde a atualização dele aparecer no seu sistema e execute o update.