[Eisfair_dev] Samba 2.29.0 badlock (Status 'testing')

[Thomas Zweifel]

Hallo Thomas

Am 15.04.2016 um 12:38 schrieb Thomas Bork:
> Am 15.04.2016 um 08:14 schrieb Marcus Roeckrath:
> 
>> Das muss Thomas entscheiden, wieviel Aufwand ein solcher Schalter
>> SAMBA_OLD_CLIENT_SUPPORT = yes|no   ; Default no; Switching to yes could
>> break your network security
>> macht.
>> Dann aber auch in der Hilfe ein deutlicher Hinweis, dass das
>> möglicherweise
>> Sicherheitsrisiken mit sich bringen kann.
> 
> Im Bild fehlen noch ältere Samba-Versionen als Client oder Server. Hier
> hat anscheinend zur Zeit Debian mit seinem Samba 3.6 nach den Patches
> für badlock zu kämpfen.
> 
> Auch solche Clients und Server müssen nach einer Änderung in Tests mit
> einbezogen werden. Das kann ich allein nicht leisten. Jeder mit älteren
> Clients oder Servern in Verbindung mit eisfair-Samba ist also hiermit
> zur Mithilfe aufgerufen.
> 
> Erschwerend kommt hinzu, dass ein solcher Schalter oder eine solche
> manuelle Veränderung der Konfiguration irreversible Auswirkungen haben
> kann.
> 
> Auch nach Rückänderung der Optionen hatten sie m.E. keinen Zugriff mehr,
> flogen aus der Domäne usw., da der Lanman Hash weg war (denn der Lanman
> Hash steht auch in den Maschinen-Konten).
> 
> Einen Schalter einzubauen suggeriert, man könne die Optionen beliebig
> hin und her setzen und den Ausgangs-Zustand wieder herstellen. Ehrlich
> gesagt, möchte ich so etwas unter den o.g. Umständen weder einbauen noch
> supporten...
> 

Hmmmm....

Wenn das so ist, dann wohl doch eher den Support für alte OS
standardmässig aktiviert lassen, und quasi per "Kill-Switch"
irreversibel auf sicher umschaltbar.
Gegebenenfalls einen rot gefärbten Hinweistext beim Abspeichern, falls
man noch den Kompatibilitätsmodus betreibt.


Gruss Thomas