Samba

[Zhek@Ch]

[size="3"]Обновление Samba 3.5.7, 3.4.12, 3.3.15 с устранением уязвимости [/size]

Представлены корректирующие выпуски Samba 3.5.7, 3.4.12, 3.3.15, в которых устранена уязвимость, которую можно использовать для инициирования отказа в обслуживании и потенциально для повышения привилегий в системе после отправки специально сформированного запроса к Winbind или smb от локального или удаленного пользователя, имеющего доступ к samba-разделам. Проблема вызвана отсутствием проверки диапазона значений в макросе "FD_SET", передача некорректного значения в который может привести к повреждению памяти.

В настоящий момент подтверждена только возможность совершения DoS-атаки, вероятность инициирования выполнения кода низка и носит теоретический характер. Отказ в обслуживании может проявляться через крах процесса или его зацикливание с последующим исчерпанием доступных файловых дескрипторов.

# opennet.ru

[Zhek@Ch]

[size="3"]Релиз Samba 3.5.8 [/size]

Вышел корректирующий релиз Samba 3.5.8, в котором исправлена 51 ошибка.
Из наиболее важных исправлений отмечено:

• Устранен крах Winbind, возникающий при недоступности контроллера доменов;
• Налажен поиск пользователей среди членов домена;
• Устранена утечка памяти в Winbind;
• Решены проблемы с печатью у клиентов с Windows

# opennet.ru

[Zhek@Ch]

[size="3"]Релиз Samba 3.4.13 [/size]

Вышел корректирующий релиз Samba 3.4.13, в котором исправлены 3 ошибки:

• Устранена некорректная обработка таймаутов в коде клиента ncacn_ip_tcp;
• Решена проблема с крахом Winbind из-за разыменования NULL-указателя;
• Учтены особенности вызова setpwent() на платформе FreeBSD.D.

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующий релиз Samba 3.5.9 [/size]

Вышел корректирующий релиз Samba 3.5.9, в котором исправлено 44 ошибки. Из исправлений отмечено устранение проблемы с потерей sgid-флага при переименовании директории и потерей ACL при переименовании файлов. В Winbind по умолчанию применена настройка "allow trusted domains = no" (запрещает попытки соединения из другого домена или рабочей группы с которыми установлены доверительные отношения на сервере аутентификации). Устранен крах 'smbclient' при использовании в имени рабочей группы или netbios-имени кириллических символов.

# opennet.ru

[Zhek@Ch]

[size="3"]Обновление Samba 3.5.10, 3.4.14 и 3.3.16 с устранением двух уязвимостей [/size]

Представлены корректирующие релизы поддерживаемых веток проекта Samba - 3.5.10, 3.4.14 и 3.3.16, а также тестовый выпуск Samba 3.6.0rc3. В новых версиях устранены две незначительные уязвимости в web-интерфейсе SWAT, приводящие к возможности осуществления CSRF-атак (Cross-Site Request Forgery) и организации межсайтового скриптинга (XSS). При успешной организации атаки, при открытии подконтрольной злоумышленнику страницы или ссылки, в контексте web-интерфейса SWAT может быть выполнен внешний Javascript код или организовано выполнение определенного управляющего действия без ведома пользователя.

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующий релиз Samba 3.5.11 [/size]
 
Вышел корректирующий релиз Samba 3.5.11 , в котором исправлено 10 ошибок. Наиболее важными исправлениями являются:

• Устранение проблем с доступом к разделам Samba после установки в Windows патча KB2536276, устраняющего некоторые проблемы безопасности в Windows;
• Исправление ошибки, приводившей к краху Winbind в случае некорректного завершения функции verify_idpool();
• Нормализована работа "acl check permissions = no" в некоторых нестандартных конфигурациях;
• Устранено заполнение лога smbd текстом ошибки "Could not find child X -- ignoring".

# opennet.ru

[Zhek@Ch]

[size="3"]Релиз Samba 3.6.0 [/size]

Увидел свет первый стабильный релиз новой ветки Samba 3.6, в которой доведена до готовности к промышленному внедрению поддержка протокола SMB2, используемого в Windows Vista и Windows 7, добавлен новый модуль для анализа трафика, изменены некоторые влияющие на безопасность настройки по умолчанию и существенно переработана поддержка печати.

Кроме того, продолжается работа по обеспечению плавного слияния кодовых баз веток Samba 3 (winbindd и код файлового сервера) и Samba 4 (контроллер домена). В будущем планируется выпустить единый многофункциональный продукт Samba 4, который будет поддерживать бесшовную миграцию с Samba 3 и сможет выступать в роли файлового сервера, сервера печати, сервера идентификации (winbind) и совместимого с Active Directory контроллера домена.

Ключевые изменения, представленные в Samba 3.6.0:

• Поддержка SMB2 признана полностью функциональной. Через SMB2 могут работать все возможности Samba, за одним исключением - не поддерживается изменение квот при помощи утилит управления квотами Windows. Поддержка SMB2 не включена по умолчанию. Для активации SMB2 в секции "[global]" файла smb.conf необходимо указать "max protocol = SMB2". По умолчанию работа через SMB2 будет включена после окончательного подтверждения стабильности реализации SMB2 в результате оценки работы реальных систем, перешедших на новый протокол в Samba;
• Добавлен новый анализатор трафика SMB Traffic Analyzer (SMBTA), поддерживающий вторую версию протокола VFS-модулей, в которой реализовано шифрование, передача нескольких аргументов и упрощенный для разбора формат. Для управления SMBTA используется утилита smbta-util. SMBTA позволяет осуществить мониторинг и сбор статистики о потоках данных пользователей, работе Samba-сервисов или целых доменов. В отличие от сетевых анализаторов, SMBTA не перехватывает трафик, а получает информацию через VFS-интерфейс (Virtual File System) Samba, являясь полностью прозрачным для пользователей и не влияя на эффективность пересылки;
• Полностью переписан и подвергнут рефакторингу код обработки очередей печати (Spoolss) и реализации RAP-команд управления печатью (Remote Administration Protocol). Все связанные с печатью операции теперь выполняются через RPC-интерфейс Spoolss, что позволило в одном месте сконцентрировать код всех связанных с подсистемой печати проверок, убрав все обработчики особых ситуаций из основного кода печати. Для хранения любых данных в Spoolss и других компонентах системы печати задействованы RPC-интерфейсы winreg. Т.е. вместо TDB-файлов использован интерфейс Registry, что позволит обращаться к данным принтера и Windows-клиентам, используя стандартный для них и на 100% совместимый RPC-интерфейс winreg. Процесс миграции с TDB-файлов максимально автоматизирован и будет автоматически вызван при первом запуске (также можно провести миграцию вручную, используя команду "net printer migrate"). В будущем планируется вынос реализации спула печати в отдельный фоновый процесс, что позволит увеличить модульность системы и даст возможность не использовать лишний код, в ситуации кода поддержка печати не требуется;
• Продолжена работа по внутренней реструктуризации, нацеленная на увеличение разделения внутренних подсистем, что в конечном итоге должно привести к ускорению сборки, сокращению размера исполняемых файлов и оптимизации зависимостей;
• Добавлен бэкенд для работы с квотами на NFS-разделах в Linux. Разработка базируется на ранее созданной реализации для платформ Solaris и FreeBSD. Бэкенд позволяет samba передавать корректную информацию о наличии свободного места на импортируемых NFS-разделах, используемых для размещения samba-разделов;
• Внутренние изменения метода работы с локальной базой пользователей в Winbind. Вместо вызова функций passdb для получения информации о локальных пользователях и группах используются обращение через внутренние неименованные каналы (samr и lsa rpc pipe). Причина изменения связана с желанием использование единого подхода во всех компонентах инфраструктуры, что позволяет вынести больше кода Winbind в совместно используемые библиотеки;
• Изменение настроек по умолчанию, связанных с безопасностью: [color="#461b7e"]
   

Код [Выделить] Expand

client ntlmv2 auth = yes
 client use spnego principal = no
 send spnego principal = no[/color]
 Опция 'client ntlmv2 auth = yes' запрещает использовать NTLM-аутентикацию при работе в режиме клиента (вместо устаревшего протокола NTLMv1 используется более криптостойкий протокол NTLMv2, базирующийся на хэшах HMAC-MD5). Изменение затрагивает только входящие в состав Samba утилиты, такие как smbclient и winbind, но не влияет на работу CIFS-клиента, встроенного в Linux-ядро.

Опция 'client use spnego principal = no' указывает на то, что для запроса билета в Kerberos клиентский софт samba (smbclient, winbind) будет использовать "CIFS/имя хоста", что близко к поведению Windows при работе с Kerberos, вместо ранее практикуемого полного доверия к предоставляемым сервером хинтам, поддержка которых была прекращена начиная с Windows 2008. Для налаживания работы со всеми клиентами, все псевдонимы (alias) сервера должны быть записаны как servicePrincipalName в Active Directory. Опция 'send spnego principal = no' введена для отражения изменений в Windows 2008, больше не отправляющем principal-хинты;

• Переработан способ маппинга пользовательских идентификаторов c целью увеличения гибкости определения правил и обеспечения более простого и понятного процесса конфигурирования. Основные изменения связаны с выносом кода, ответственного за сопоставление с unix-идентификаторами, в отдельные idmap-бэкенды tdb, tdb2 и ldap. Код выделения unix id теперь привязан к правилам сопоставления (sids_to_unixids). В каждом idmap-бэкенде используется свой механизм создания idmap unixid. Из winbindd API удалены методы, связанные с сохранением и удалением сопоставлений идентификаторов. Команда "net idmap dump/restore" теперь вместо работы с winbindd напрямую обращается к базам данных. В настоящий момент обеспечена поддержка бэкендов tdb и tdb2, пока отсутствует поддержка ldap. Признаны устаревшими параметры конфигурации "idmap uid", "idmap gid" и "idmap range", вместо них следует использовать "idmap config * : range" и "idmap config * : backend";
• Начальная реализация Endpoint Mapper для Samba, работающего как DNS-сервер, но для портов. Т.е. при необходимости подсоединения к определенному RPC-сервису через TCP/IP запрос к Endpoint Mapper позволяет узнать номер порта для соединения по имени сервиса. В настоящий момент код еще не до конца протестирован и не активирован по умолчанию. Для включения необходимо использовать настройку "rpc_server:epmapper = daemon" в smb.conf.
• Добавлены новые директивы конфигурации smb.conf (в скобках значение по умолчанию):
  • "async smb echo handler" (No)
  • "client use spnego principal" (No)
  • "ctdb locktime warn threshold" (0)
  • "log writeable files on exit" (No)
  • "multicast dns register" (Yes)
  • "ncalrpc dir"
  • "send spnego principal" (No)
  • "smb2 max credits" (128)
  • "smb2 max read" (1048576)
  • "smb2 max trans" (1048576)
  • "smb2 max write" (1048576)
  • "username map cache time" (0)
  • "winbind max clients" (200)
• Прекращена поддержка директивы "idmap alloc backend".

# opennet.ru

[Zhek@Ch]

[size="3"]Корректирующий релиз Samba 3.6.1 [/size]
 
Вышел корректирующий релиз Samba 3.6.1, в котором исправлено 53 ошибки. Из наиболее важных исправлений можно отметить:

• Устранён крах smbd, проявляющийся при работе клиентов с Windows XP;
• Решена проблема в Winbind, приводившая при определённом стечении обстоятельств к 100% загруженности CPU;
• Ряд исправлений, связанных с реализацией протокола SMB2. Устранена проблема с сохранением файлов на SMB2-раздел Samba из MS Office 2007 (Word). Налажена совместимость с реализацией клиента от Apple;
• С модуля VFS ACL снят признак экспериментального, он теперь готов к промышленному внедрению;
• Решена проблема с загрузкой файлов на Samba-раздел из IE9 на платформе Windows 7;
• Устранена проблема с подключением smbclient к разделам NT4;
• Устранено зацикливание в модуле ACL.

# opennet.ru

[Zhek@Ch]

[size="3"]Компания Microsoft подключилась к разработке Samba [/size]

Разработчики проекта Samba сообщили о переходе сотрудничества с компанией Microsoft на новый этап, связанный с урегулированием разногласий и переходом от противостояния к сотрудничеству. В состав Samba принят набор патчей, созданный сотрудниками Центра открытых технологий Microsoft и направленный на улучшение совместимости Samba. Патчи были созданы специально для проектов Samba и Firefox (Firefox использует код Samba для работы с NTLM в Linux), и содержат реализацию дополнительных механизмов защиты для процесса NTLM-аутентификации. Код одобрен для публикации под лицензией GPLv2+, все права на код компания Microsoft передала конечному разработчику, курирующему взаимодействие с Samba.

По словам Криса Хертела (Chris Hertel) из Samba Team, несколько лет назад приём патчей от разработчиков из Microsoft казался немыслимым, но бои затихли и времена изменились. Проект Samba и Microsoft по прежнему расходятся во взглядах на некоторые вещи, например в области негативного влияния патентов на появление инноваций в программном обеспечении. Тем не менее, разработчики Samba отмечают, что Microsoft в настоящее время активно предпринимает усилия по созданию сильного сообщества и улучшению переносимости среди различных реализаций протокола SMB.

Первый опыт сотрудничества Samba и Microsoft носил принудительный характер: под давлением решения Еврокомиссии в деле о нарушении антимонопольного законодательства, компания Microsoft в 2007 году предоставила разработчикам проекта Samba полную документацию по сетевым протоколам, используемым в серверных вариантах Windows. Год спустя было организовано несколько встреч, в рамках которых инженеры Microsoft ответили на интересующие разработчиков Samba технические вопросы, касающиеся обеспечения совместимости с Active Directory и CIFS. В 2009 году член Samba Team был приглашен для участия в подготовке нового набора документации по протоколам SMB/CIFS, распространяемого публично, без подписки о неразглашении.

В заключение можно отметить выход корректирующего релиза Samba 3.5.12 в котором исправлено 25 ошибок, в том числе решена проблема в Winbind, приводившая при определённом стечении обстоятельств к полной загрузке CPU. Кроме того, с модуля VFS ACL снят признак экспериментального, он теперь готов к промышленному внедрению.

# opennet.ru