[Eisfair_dev] Samba 2.31.0 badlock (Status 'testing')

So Apr 24 10:39:41 CEST 2016

Hi @all,

es steht das Paket eisfair-Samba 2.31.0 mit dem Status 'testing' zur 
Installation bereit.

2.31.0 wurde von mir im Gegensatz zu 2.29.0 und 2.30.0 wieder korrekt 
konfiguriert. Leider gehen beim Update von 2.29.0 und 2.30.0 persistente 
Daten (die Assoziation von hinterlegten Drucker-Treibern zu 
konfigurierten Druckern) verloren, wenn in den Versionen 2.29.0 und 
2.30.0 Druckertreiber hochgeladen wurden. Das kann ca. 50 Nutzer der 
Version 2.29.0 und ca. 6 Nutzer der kurzzeitig verfügbaren 2.30.0 
betreffen. Sorry dafür!

Dieses Release dient dazu, mehrere Sicherheits-Probleme in Samba zu 
fixen. Zu Details siehe

http://badlock.org/
https://www.samba.org/samba/latest_news.html#4.4.2
https://www.samba.org/samba/history/samba-4.3.8.html

Da es sich hierbei nicht um einen simplen Patch handelt, habe ich mich 
dazu entschieden, zuerst eine Test-Version mit dem internen Samba 4.3.8 
heraus zu geben, da mögliche Nebenwirkungen auftreten können (und 
manchen ist eine funktionierendes System wichtiger als ein sicheres 
System...).

Unter dem Samba-Link oben ist nachzulesen, dass aufgrund der Man in the 
middle (MITM) attacks einige Defaults geändert wurden. Das kann 
Auswirkungen auf den Zugriff mit älteren Clients auf den Samba-Server haben.

Dazu ist anzumerken, dass ich aufgrund schon vorher veränderter Defaults 
in Samba explizit

# compatibility with older servers
lanman auth = yes
client lanman auth = yes
client plaintext auth = yes
client ntlmv2 auth = no
require strong key = no
allow nt4 crypto = yes

setze, um eben auch alten Clients einen Zugriff zu ermöglichen. Das 
lässt mich vermuten, dass unser Samba auch nach 4.3.8 anfällig für Man 
in the middle (MITM) attacks ist.

Eventuell muss hieran also etwas geändert werden. Das muss vorher aber 
sorgfältig mit älteren Clients geprüft werden - und dazu ist Eure 
Mithilfe erforderlich.

Changelog zur stabilen eisfair-Samba-Version 2.28.0:
====================================================
2.30.0 --> 2.31.0
-----------------
- 4.3.8 (4.3.8-for-eisfair-1-patch-2, status testing)
- configured with
   --with-lockdir=/var/lib/samba \
   --with-cachedir=/var/lib/samba \
   --with-statedir=/var/lib/samba \
   2.29.0 and 2.30.0 were false configured with
   --with-lockdir=/run/lock/samba \
   --with-cachedir=/run/lock/samba \
   --with-statedir=/run/lock/samba \
   Persistent printer associations are lost if updating
   from 2.29.0 and 2.30.0 - sorry

2.29.0 --> 2.30.0
-----------------
- 4.3.8 (4.3.8-for-eisfair-1-patch-1, status stable)

2.28.0 --> 2.29.0
-----------------
- 4.3.8 (4.3.8-for-eisfair-1-patch-1, status testing)

Release-Notes der internen Samba-Versionen 4.3.8:
=================================================
https://www.samba.org/samba/history/samba-4.3.8.html

Dieses Paket bei http://pack-eis.de:
====================================
http://www.pack-eis.de/index.php?p=18047

Changelog:
==========
http://www.pack-eis.de/index.php?action=showfile&pid=18047&filename=usr/share/doc/samba/changes.txt

Ich wünsche Euch auch weiterhin viel Spass mit eisfair!

Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.

-- 
der tom
[eisfair-team]