[Eisfair] Samba 2.29.0 badlock (Status 'testing')

Thomas Bork tom at eisfair.org
Mi Apr 13 00:23:55 CEST 2016 

Hi @all,

es steht das Paket eisfair-Samba 2.29.0 mit dem Status 'testing' zur 
Installation bereit.

Dieses Release dient dazu, mehrere Sicherheits-Probleme in Samba zu 
fixen. Zu Details siehe

http://badlock.org/
https://www.samba.org/samba/latest_news.html#4.4.2
https://www.samba.org/samba/history/samba-4.3.8.html

Da es sich hierbei nicht um einen simplen Patch handelt, habe ich mich 
dazu entschieden, zuerst eine Test-Version mit dem internen Samba 4.3.8 
heraus zu geben, da mögliche Nebenwirkungen auftreten können (und 
manchen ist eine funktionierendes System wichtiger als ein sicheres 
System...).

Unter dem Samba-Link oben ist nachzulesen, dass aufgrund der Man in the 
middle (MITM) attacks einige Defaults geändert wurden. Das kann 
Auswirkungen auf den Zugriff mit älteren Clients auf den Samba-Server haben.

Dazu ist anzumerken, dass ich aufgrund schon vorher veränderter Defaults 
in Samba explizit

# compatibility with older servers
lanman auth = yes
client lanman auth = yes
client plaintext auth = yes
client ntlmv2 auth = no
require strong key = no
allow nt4 crypto = yes

setze, um eben auch alten Clients einen Zugriff zu ermöglichen. Das 
lässt mich vermuten, dass unser Samba auch nach 4.3.8 anfällig für Man 
in the middle (MITM) attacks ist.

Eventuell muss hieran also etwas geändert werden. Das muss aber 
sorgfältig mit älteren Clients geprüft werden.


Changelog zur bisherigen stabilen eisfair-Samba-Version 2.28.0:
===============================================================
2.28.0 --> 2.29.0
-----------------
- 4.3.8 (4.3.8-for-eisfair-1-patch-1, status testing)


Release-Notes der internen Samba-Versionen 4.3.8:
=================================================
https://www.samba.org/samba/history/samba-4.3.8.html


Dieses Paket bei http://pack-eis.de:
====================================
http://www.pack-eis.de/index.php?p=18020


Changelog:
==========
http://www.pack-eis.de/index.php?action=showfile&pid=18020&filename=usr/share/doc/samba/changes.txt


Ich wünsche Euch auch weiterhin viel Spass mit eisfair!


Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair