Опубликованы корректирующие выпуски пакета Samba 4.17.2, 4.16.6 и 4.15.11 с устранением двух уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.

CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3(), предоставляемых в библиотеке GSSAPI из пакета Heimdal (поставляется в составе Samba, начиная с версии 4.0). Эксплуатация уязвимости возможна через отправку специально оформленного пакета на системы, в которых используется GSSAPI. Например проблема проявляется в реализации клиента и файлового сервера на базе протокола SMB1, при применении DCE/RPC и в контроллере домена Active Directory. Системы собранные с MIT Kerberos (–with-system-mitkrb5) вместо Heimdal проблеме не подвержены.

CVE-2022-3592 - возможность выхода за границы экспортируемого каталога и доступа к любому файлу на сервере через манипуляции с символическими ссылками. Проблема проявляется только в ветке Samba 4.17 и вызвана ошибкой в новом коде для обработки символических ссылок в пространстве пользователя (в коде отсутствовала проверка нахождения целевого каталога ссылки за границей экспортируемого каталога). Уязвимость может быть эксплуатирована клиентом, имеющим доступ на запись в экспортируемый раздел, предоставляемый через протоколы SMB1 или NFS, допускающие создание символических ссылок.

>>> Источник: OpenNet, лицензия «CC-BY»

3-го марта представлен релиз Samba 4.12.0

Samba — набор программ и утилит для работы с сетевыми дисками и принтерами на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущенным под лицензией GPL v3.

Основные изменения:

• Код очищен от всех реализаций криптографии в пользу внешних библиотек. В качестве основной выбрана GnuTLS, минимальная требуемая версия 3.4.7. Это позволит увеличить скорость работы комплекса — при тестировании CIFS из ядра Linux 5.3 было зафиксировано увеличение скорости записи в 3 раза, а скорости чтения в 2,5.
• Поиск по SMB разделам теперь осуществляется при помощи Spotlight вместо используемого ранее GNOME Tracker.
• Добавлен новый VFS-модуль io_uring, использующий интерфейс ядра Linux io_uring для асинхронного ввода/вывода. Также он поддерживает буферизацию.
• В конфигурационном файле smb.conf прекращена поддержка параметра write cache size, в связи с появлением модуля io_uring.
• Удален модуль vfs_netatalk, поддержка которого была прекращена ранее.
• Бэкенд BIND9_FLATFILE объявлен устаревшим, и будет удален в одном из следующих выпусков.
• В число зависимостей для сборки добавлена библиотека zlib, при этом встроенная ее реализация удалена из кода.
• Теперь для работы требуется Python 3.5 вместо используемого ранее Python 3.4.

Также стоит отметить, что для тестирования кода теперь используется OSS-Fuss, что позволило найти и исправить множество ошибок в коде.

>>> Подробности

17го сентября 2019 года вышла версия 4.11.0 - первый стабильный релиз в ветке Samba 4.11.

Из основных особенностей пакета:

• Полноценная реализация контроллера домена и сервисов AD, совместимая с протоколами Windows 2000 и способная обслуживать все Windows-клиенты вплоть до Windows 10
  
• Файловый сервер
  
• Сервер печати
  
• Сервис идентификации Winbind
  

( читать дальше... )

>>> Подробности

Основные изменения:

( читать дальше... )

>>> Подробности

В сетевом программном обеспечении Samba обнаружена уязвимость, с помощью которой можно получить возможность удалённого выполнения кода.

Уязвимость появилась ещё 7 лет назад, но чтобы ей воспользоваться, необходим доступ к ресурсу на запись, что сильно ограничивает возможность эксплуатации.

Под атакой могут оказаться версии от 3.5.0 и до 4.6.4/4.5.10/4.4.14.

В Metasploit уже есть эксплоит, поэтому рекомендуется обновить все серверы, если они используют протокол SMB.

>>> Подробности

Сегодня, в День космонавтики, была опубликована очередная «именная» уязвимость BadLock. Она затрагивает как все версии Microsoft Windows, так и все версии Samba.

Уязвимость CVE-2016-2118 позволяет перехватывать и видоизменять DCERPC-трафик между клиентом и сервером и получать доступ к Security Account Manager Database, предоставляя доступ ко всем паролям и другой приватной информации на сервере.

В связи с высокой степенью опасности настоятельно рекомендуется обновить Samba до версий 4.4.2, 4.3.8 или 4.2.11. Для более старых версий Samba доступны патчи.

>>> Samba 4.4.2, 4.3.8 and 4.2.11 Security Releases Available for Download

Samba — это пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS.

Основные изменения:

• добавлена поддержка SMB 3.1.1;
• новые команды для rpcclient: netshareenumall, netsharegetinfo, netsharesetinfo, netsharesetdfsflags, netnamevalidate, netfileenum, netfilegetsec, netsessdel, netdiskenum, netsessenum, netconnenum, netshareadd и netsharedel;
• samba-tool поддерживает все 7 ролей FSO: Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master, DomainDnsZones Infrastructure Master и ForestDnsZones Infrastructure Master;
• улучшена поддержка кросс-компиляции;
• в smb.conf добавлены новые параметры: logging, msdfs shuffle referrals, smbd profiling level, spotlight и tls priority;
• в команду domain trust добавлены следующие параметры: create, delete, namespaces, list, show и validate;
• добавлена поддержка Spotlight.

>>> Подробности

Разработчики Samba выпустили еще одну стабильную версии 4-ой ветки. Также стоит отметить, что версии 3.x больше поддерживаться не будут. Все настоятельно рекомендуется обновить свои сервера до 4-ой ветки.

Основные изменения:

( читать дальше... )

>>> Подробности

Сотрудники MSVR (Microsoft Vulnerability Research) обнаружили критическую уязвимость CVE-2015-0240 в Samba. Для эксплуатации достаточно удалённо отправить всего один пакет на сервер (авторизация не требуется). После чего злоумышленник получает права суперпользователя, поскольку smbd чаще всего выполняется с наивысшими правами.

Уязвимость присутствует во всех версиях с 3.5.0 по 4.2.0rc4. Рекомендуется как можно скорее провести обновление (уязвимость была экстренно закрыта во внеплановых выпусках 4.1.17, 4.0.25 и 3.6.25) или наложить патчи. При отсутствии такой возможности, пользователям Samba 4 поможет добавление в секцию [global] файла smb.conf строки rpc_server:netlogon=disabled

>>> Подробности

Вышел релиз Samba 4.1.0 с полноценной реализацией контроллера домена и сервиса Active Directory. Заявлена полная совместимость с реализацией контроллера домена Windows 2000 и возможность обслуживать Windows-клиентов, в том числе использующих Windows 8. Из основных улучшений и изменений:

• Переработаны клиентские утилиты и библиотеки с поддержкой протоколов SMB2 и SMB3. Поддержка SMB3 работает только с серверами на базе Windows 2012, Windows 8 или Samba 4.x.
• Добавлена поддержка соединений с использованием шифрованного канала связи при соединении с серверами Windows и Samba по протоколу SMB3. В предыдущих версиях шифрование было доступно только при использовании Unix-расширений протокола SMB1, теперь оно может быть применено и при соединении с Windows-серверами.
• Появилась новая система репликации содержимого базы данных контроллера домена, отличающаяся увеличением эффективности и надёжности работы.
• Теперь поддерживается выполнение операций копирования на стороне сервера.
• Возможно включение VFS-модуля для обеспечения интеграции с файловой системой Btrfs.
• Из Samba удалён web-интерфейс SWAT. Причина - низкое качество кода, создающее угрозу безопасности. Для устранения выявленных проблем требуется переписать модель безопасности SWAT, но найти заинтересованного в этом разработчика не удалось.
• Поддержка директив «password level» и «set directory» прекращена, добавлена директива «use ntdb».

>>> Подробности (на английском языке)

15 июня в 10.30 в 425 аудитории главного корпуса ВГУ состоится очередная встреча пользователей Linux и СПО. В программе: интеграция linux в домен MS Active directory.

>>> Подробности

Команда проекта OpenChange, совместимой реализации протоколов Microsoft Exchange, вслед за Samba Team порадовали сообщество «целочисленным» выпуском 2.0 с кодовым именем «QUADRANT».

Ни для кого не секрет, что разработка OpenChange напрямую зависит от успехов в разработке Samba4 и SOGo, потому не удивительно, что последние версии всех этих трёх продуктов вышли чуть ли не в один день.
Сами разработчики OpenChange заявляют работу версии 2.0 совместно с Samba 4.0.1, стабильной версии Samba с поддержкой служб Active Directory (хотя ничего не должно препятствовать работе OpenChange с версией Samba 4.0.2, вышедшей вчера), и тоже вышедшей вчера версией SOGo 2.0.4, популярным сервером groupware.

Среди новых возможностей:

• поддержка Outlook AnyWhere (RPC over HTTP) в сервере;
• автоматическая NTLM-аутентификация для клиентов RPC over HTTP;
• реализация службы AutoDiscovery «AutoDiscovery Publishing Lookup Protocol Specification»;
• возможность настройки учётных записей на серверах Samba, являющихся членами домена;
• возможность изьятия схемы OpenChange из Samba4;
• автонастройка почтовых ящиков во время первого аутентифицированного соединения клиента;
• автонастройка данных FreeBusy для пользователя.

Усовершенствования:

• переименования в структуре IDL для более полного соответствия спецификациям Microsoft;
• поддержка типа double;
• поддержка переноса и копирования каталогов;
• поддержка режима кэширования (FXICS).

Проводя сравнение с практически вынужденным релизом Samba 4.0.x можно увидеть много общего, а именно внушительный список ещё не реализованных возможностей.
Однако работа ведётся, и в связи с этим вдвойне приятно видеть в сообщении о выпуске среди выражений благодарностей и русское имя нашего соотечественника Александра Бокового.

Загрузить

>>> Подробности

Samba 4.0.0 — путь в девять лет до первого стабильного релиза ветки с поддержкой функций Active Directory

Вопреки тоннам скепсиса, отсутствию внутри сообщества веры в доведение проекта до энтерпрайз-уровня, многочисленной критике выбранных при реализации решений и часто встречавшемуся непониманию необходимости в проекте, но в то же время исключительно благодаря кропотливому труду сплочённой команды разработчиков и тестировавших программный продукт сисадминов-энтузиастов, это наконец свершилось сегодня, 11 декабря 2012 года, - вышел первый стабильный выпуск четвёртой ветки файлового и принт-сервера Samba с поддержкой Active Directory Domain Services.

Сообщение об этом знаменательном событии было опубликовано в рассылке samba-announce релиз-менеджером Samba Team, Каролин Зигер (Karolin Seeger).

( читать дальше... )

Автор новости — Андрей Шинкарчук

>>> Подробности

Разработчики Samba сообщают, что в их продукте (в версиях 3.0.x — 3.6.3 включительно) обнаружена опасная удаленная уязвимость. В коде, который отвечает за сериализацию и десериализацию данных для RPC-вызовов обнаружена ошибка проверки размера массива, что позволяет с помощью специально сформированного RPC-запроса выполнить произвольный код на сервере.

Уязвимость опасна тем, что ее может использовать анонимный пользователь не проходя процедуру аутентификации. Поэтому разработчики рекомендуют всем пользователям Samba обновиться как можно скорее. В связи с исключительностью ситуации, разработчики предоставили патчи даже для неподдерживаемых версий (вплоть до 3.0.*).

В случае невозможности оперативно установить новую версию разработчики рекомендуют использовать параметр конфигурации hosts allow для ограничения доступа к серверу неавторизованных пользователей.

>>> Подробности

Команда разработчиков Zentyal анонсировала 14-го сентября выход релиза 2.2.

Zentyal, ранее известный под именем eBox Platform, — это своеобразный «серверный комбайн для чайников», то есть дистрибутив с простым и удобным интерфейсом, позволяющим создать свой Linux-сервер даже очень далёким от мира nix людям. Низкий порог вхождения для новичков в администрировании Linux достигается благодаря высокому уровню взаимной интеграции различных сетевых сервисов «из коробки» и продуманному подходу к проектированию инструментов управления.

Zentyal основан на Ubuntu 10.04.2 LTS, по существу добавляя к последнему свой собственный репозиторий пакетов, что не нарушает совместимость с родительским дистрибутивом. Принцип построения уникальной части дистрибутива от Zentyal Developers Team - модульный, благодаря чему на его основе можно настроить сервер практически любого назначения - начиная от простейшего файлохранилища или контроллера домена с интеграцией в LDAP и заканчивая SIP-шлюзом. По идеологии и принципу построения к числу близких аналогов Zentyal можно отнести, например, ClearOS (тоже «комбайн»), средство коллективной работы Zimbra и систему виртуализации Proxmox VE.

Итак, что нового, интересного есть в Zentyal 2.2?

( читать дальше... )

>>> Пресс-релиз

Подходит к концу GSoC 2011, и постепенно участники начинают сообщать об успешном завершении работ над своими проектами.

Так, вчера студент-выпускник факультета компьютерных наук и информационных технологий Саратовского государственного университета имени Н. Г. Чернышевского Павел Шиловский сообщил в списке рассылки samba-technical о завершении работы над поддержкой протокола SMB2 в CIFS-модуле ядра Linux.

Два с половиной месяца назад перед Павлом были поставлены следующие задачи:

• портировать существующий код SMB2 в CIFS-модуль ядра Linux;
• адаптировать параллельную и асинхронную инфраструктуры для работы в CIFS-модуле;
• реализовать новую семантику кеширования согласно диалекту 2.10 протокола SMB2.

Следить за работой Павла над проектом можно было в публичных git-репозиториях Etersoft и ALT Linux.

В опубликованном в рассылке сообщении Павел кроме информации о завершении работы также предложил ознакомиться с результатами сравнительного тестирования реализаций первой версии протокола SMB и диалектов 2.002 и 2.10 протокола SMB2 в CIFS-модуле ядра в своём блоге.
Диалект 2.10 протокола использует механизм кеширования, позволяющий клиентам использовать кеш даже при нескольких открытых файловых дескрипторах одного и того же файла.
Согласно результатам теста, диалект 2.10 протокола SMB2 работает с кешем для операций ввода/вывода более эффективно (от пяти до шестнадцати раз в проведённых исследованиях), позволяя ускорить работу приложений, использующих во время работы несколько файловых дескрипторов одного и того же файла.

Теперь можно терпеливо ожидать включения кода, разработанного Павлом, в следующую стабильную версию LinuxCIFS utils или же опробовать версию клиента из репозитория Павла, естественно, с сервером, поддерживающим протокол SMB2, в роли которого может быть Samba 3.6.0, Windows Vista, Windows 7, Windows Server 2008/2008 R2.

>>> Сообщение в рассылке

Немецкая компания Univention GmbH подтвердила в списке рассылки samba-technical о своих намерениях включить Samba4 в запланированный на ноябрь 2011 года мажорный релиз 3.0 своего основного продукта — основанного на Debian энтерпрайзного Linux-дистрибутива Univention Corporate Server (UCS).

Естественно, в Univention делают ставку на функционал Active Directory (AD) в Samba4, при этом достаточно амбициозно звучит заявление о том, что именно Samba4, а не текущая стабильная версия Samba3 будет избрана в качестве стандартного варианта установки этого файлового и принт-сервера.

На данный момент для загрузки и тестирования свободно доступен прототип релиза, включающий Samba4 и построенный на базе дистрибутива UCS версии 2.4.

Самое важное и интересное то, что Univention контрактовали для поддержки одного из топ-разработчиков Samba — Стефана Метцмахера (Stefan Metzmacher) из компании SerNet, являющейся партнёром Samba, а именно для рассмотрения возможности реализации синхронизации хешей паролей и ключей Kerberos между OpenLDAP и Samba4.

( читать дальше... )

>>> Сообщение в списке рассылки samba-technical

9 августа 2011 года состоялся долгожданный выход версии 3.6.0 файлового и принт-сервера Samba. Смена номера текущей серии в этот раз далась команде разработчиков действительно непросто.
После выхода версии 3.5.0, задержанной на 3 месяца относительно запланированной согласно шестимесячному циклу разработки даты, на конференции SambaXP 2010 команда разработчиков Samba приняла решение о переходе на девятимесячный цикл мажорных релизов, чтобы располагать большим количеством времени для внедрения новых возможностей в следующие продакшн релизы, начиная уже с выпуска 3.6.0, и, конечно, более основательного их тестирования.
Также не скрывалось желание воплотить в реальность шутку Джереми Аллисона (Jeremy Allison):

It takes 9 months to do a Samba release, no matter how many engineers are involved

К сожалению, выпустить 3.6.0 согласно новому девятимесячному плану не удалось: первоначальная дата релиза, 13 января 2011 года, была просрочена и перенесена сначала на 21 июня, а затем на 6 июля.
Но и 6 июля релиз не состоялся из-за двух блокирующих ошибок.
А 7 июля как гром среди ясного неба Фолькер Лендеке (Volker Lendecke) сообщил в рассылке об обнаружении глубокого архитектурного изъяна в коде SMB2-сервера. И это при том, что 3.6.0 был запланирован как первый стабильный выпуск Samba с поддержкой SMB2. Релиз был вновь отложен на неопределённое время, а среди участников рассылки зазвучали предложения выпустить 3.6.0 без поддержки SMB2.

Однако спустя месяц выпустив и оттестировав ещё один, третий по счёту релиз-кандидат, Samba Team устами релиз-менеджера Каролин Зигер (Karolin Seeger) официально объявила о выходе Samba 3.6.0.

Теперь о главных изменениях и нововведениях.

( читать дальше... )

>>> Анонс в списке рассылки

7 июля 2011 года команда разработчиков OpenChange — свободной открытой реализации Microsoft Exchange Server и протоколов Microsoft Exchange, представила версию 0.11 с кодовым названием «Transporter».

Разработка OpenChange была начата в 2003 году Жульеном Керигуэлом (Julien Kerihuel) в рамках Epitech Innovative Project в стенах Epitech (École pour l'informatique et les nouvelles technologies) во Франции.

Проект OpenChange был создан для абсолютно прозрачной для приложения-клиента Microsoft Outlook замены Microsoft Exchange Server, программного продукта для обмена сообщениями и совместной работы (Groupware), а также с целью разработки открытых библиотек, реализующих обмен данными по протоколам Microsoft Exchange для использования при разработке программного обеспечения для совместной работы, совместимого с продуктами Microsoft.

OpenChange тесно связан с проектом Samba4, находящейся в активной разработке новой версией файлового и принт-сервера Samba с поддержкой функционала контроллера домена Active Directory.
OpenChange 0.11 «Transporter» базируется на самом последнем выпуске Samba 4.0 alpha 16 (24 июня 2011 года), подготовленным командой разработчиков Samba во главе с Эндрю Бартлетом (Andrew Bartlett) специально для команды OpenChange.

В работоспособности OpenChange в связке с Groupware-сервером SOGo можно убедиться в видеоролике на YouTube и на сайте OpenChange.

>>> Исходный код

>>> Wiki проекта

>>> Официальный сайт

Вслед за сменой нумерации версий ядра Linux, совершённой Линусом Торвальдсом 30 мая 2011 года, разработчики CIFS-utils, виртуальной файловой системы CIFS, позволяющей получать доступ к серверам и файловым хранилищам, совместимым со спецификациями CIFS версии 1.0 или выше, объявили о выходе версии 5.0.

Об этом 1 июня 2011 года сообщил один из главных разработчиков CIFS-utils, Джеф Лэйтон (Jeff Layton) в анонсе в списке рассылки проекта.

Поводом для перехода от версии 4.9 именно к версии 5.0, а не к 4.10, как отметил Джеф, стала в том числе и смена нумерации версий ядра Linux:

Последний релиз был 4.9, так что я немного сомневался — должен ли я назвать новый релиз 4.10 или 5.0?
И тогда я понял: если есть сомнения - сделай, как сделал бы Линус. Поскольку он только недавно увеличил номер major-версии ядра, это будет версия 5.0.

Кроме такой аргументированной причины увеличения major-версии стоит отметить следующие изменения:

• mount.cifs отныне всегда использует оригинальное название устройства, чтобы гарантировать отсутствие проблем у непривилегированных пользователей при размонтировании
• в основную ветку проекта внесена новая утилита cifs.idmap для обработки idmapping upcalls - вызовов для отображения идентификаторов безопасности Windows (SID) в пользовательские и групповые идентификаторы UID и GID UNIX/Linux
• большое количество исправлений и добавлений в man 8 mount.cifs и man 8 cifs.upcall

С подробным списком изменений можно ознакомиться в письме Джефа Лэйтона в списки рассылки linux-cifs, samba-technical и samba

>>> Исходный код

>>> Страница проекта