Samba 4.13 llega con solución a la vulnerabilidad ZeroLogon
Se acaba de anunciar el lanzamiento de la nueva version de Samba 4.13, version en la cual se añade la solución a la vulnerabilidad que fue detectada hace pocos días de ZeroLogon (CVE-2020-1472), además de que en esta nueva version los requisitos de Python ya han cambiado a la version 3.6 y también otros cambios mas.
Para quienes desconocen de Samba, deben saber que este es un proyecto que continúa con el desarrollo de la rama de Samba 4.x con una implementación completa de un controlador de dominio y servicio de Active Directory, compatible con la implementación de Windows 2000 y capaz de atender todas las versiones de clientes de Windows compatibles con Microsoft, incluido Windows 10.
Samba 4, es un producto de servidor multifuncional, que también proporciona la implementación de un servidor de archivos, servicio de impresión y servidor de autenticación (winbind).
Principales novedades de Samba 4.13
En esta nueva version del protocolo se añadió la solución a la vulnerabilidad ZeroLogon (CVE-2020-1472), que podría permitir a un atacante obtener derechos de administrador en un controlador de dominio en sistemas que no usan la configuración «server schannel=yes» (Si quieres conocer mas al respecto, puedes consultar la publicación que compartimos al respecto de ello aquí en el blog. El enlace es este)
Otro de los cambios que se realizó en esta nueva version de Samba, es que los requisitos mínimos de Python se han elevado de Python 3.5 a Python 3.6. Mientras que la capacidad de construir un servidor de archivos con Python 2 aún se conserva (antes de ejecutar ./configure ‘y’ make ‘, debe establecer la variable de entorno’ PYTHON = python2 ‘), pero en la siguiente rama se eliminará y se requerirá Python 3.6 para la compilación.
Por otra parte la funcionalidad «wide links = yes», que permite a los administradores del servidor de archivos crear enlaces simbólicos a un área fuera de la partición SMB / CIFS actual, se ha trasladado de smbd a un módulo «vfs_widelinks» independiente.
Actualmente, este módulo se carga automáticamente si hay un parámetro «wide links=yes» en la configuración.
Se planea eliminar el soporte para «wide links=yes» en el futuro debido a problemas de seguridad, y se recomienda encarecidamente a los usuarios de samba que utilicen «mount –bind» para montar partes externas del sistema de archivos en lugar de «wide links=yes».
Tenga en cuenta que los desarrolladores de Samba recomiendan cambiar cualquier instalaciones que actualmente usan «enlaces anchos = sí» para usar montajes de enlace tan pronto como sea posible, ya que «wide links=yes» es inherentemente inseguro configuración que nos gustaría eliminar de Samba. Moviendo el característica en un módulo VFS permite que esto se haga de una manera más limpia en el futuro.
La compatibilidad con el controlador de dominio en modo clásico ha quedado obsoleta. Los usuarios de controladores de dominio tipo NT4 (‘clásicos’) deben migrar a los controladores de dominio de Samba Active Directory para poder trabajar con clientes modernos de Windows.
Los métodos de autenticación inseguros que solo se pueden usar con SMBv1 han quedado obsoletos: «inicios de sesión de dominio», «autenticación NTLMv2 sin procesar», «autenticación de texto sin formato de cliente», «autenticación de cliente NTLMv2», «autenticación de cliente lanman» y «uso de cliente spnego».
Además, se eliminó el soporte para la opción «ldap ssl ads» de smb.conf. Se espera que la próxima versión elimine la opción «canal del servidor».
De los demás cambios que se destacan son la eliminación de:
- Anuncios ldap ssl eliminados
- smb2 deshabilita la verificación de secuencia de bloqueo
- smb2 deshabilitar oplock romper reintento
- inicios de sesión de dominio
- autenticación NTLMv2 sin procesar
- autenticación de texto sin formato del cliente
- cliente NTLMv2 auth
- cliente lanman auth
- El uso del cliente spnego
- Un canal del servidor se eliminará en la version 4.13.0
- La opción smb.conf obsoleta «ldap ssl ads» ha sido eliminada.
- La opción obsoleta «server schannel» smb.conf muy probablemente eliminado en la versión final 4.13.0.
Finalmente si quieres conocer más al respecto sobre los cambios en esta nueva versión de Samba, puedes conocerlos en el siguiente enlace.