日本 Samba ユーザ会 (Samba Users Group Japan)
Samba 3.0.2 が入手可能になりました
これは Samba の最新安定版リリースです。
このバージョンは、現在確認されているすべてのバグ修正を適用するために、
業務に利用しているすべてのSambaサーバにおいて実行すべきものです。
Security アナウンス: Samba 3.0 の以前のバージョンには、mksmbpasswd.sh シェルスクリプトによって作成されたユーザアカウントに対して、攻撃者の認証されないアクセスを許可してしまうというパスワード初期化バグが存在することが確認されています。
Common Vulnerabilities and Exposures project (cve.mitre.org) は、
この問題に対して CAN-2004-0082 という名称を付与しています。
現バージョンからのアップグレードを行いたくない Samba 管理者は、Samba 3.0.2 をダウンロードして、
pdgedit ツールをビルドした上で、以下のように実行してください:
root# pdbedit-3.0.2 --force-initialized-passwords
これにより適切なパスワードを持たないすべてのアカウントが無効となります(パスワード フィールドが X 文字で埋められます)。
Samba 3.0.2 を実行しているサーバには、pdbedit で passdb backend のサニタイジングを行うか否かに関わらず、
このバグによる脆弱性に影響されません。
上記に加え、Samba 3.0.1 に存在した、幾つかの深刻なバグが Samba 3.0.2 では対処されています:
- Windows 2000 SP2 より前のクライアントからの Samba ドメインへの参加
- Windows XP クライアントからの Samba ドメインへのログオン
- Windows 9x/Me クライアントに対して、smb.conf 変数の %U および %u がうまく動作しない問題
- メモリ上の keytab 検出テストの問題による Kerberos 認証の動作不良
- ntlm_auth ツールの更新
- SMB 署名周りの多数のエラー修正
- ドメインコントローラ探索の際の WINS および DNS クエリの分離を改善
- FreeBSD および Solaris における nss_winbind の問題
- smbd および winbindd がクラッシュする幾つかのバグ
- Samba 2.2 用のスクリプトとの互換性向上のための、smbclient の出力形式の修正
ソースコードは、以下からダウンロードすることが可能です: http://download.samba.org/samba/ftp/
展開された tar ボールとパッチファイルは、GnuPG によって署名されています。Samba 公開鍵は以下から入手可能です:
http://download.samba.org/samba/ftp/samba-pubkey.asc
バイナリパッケージは、以下から入手可能です:
http://download.samba.org/samba/ftp/Binary_Packages/
3.0.1 からの更新について、簡易な CVS ログを download ディレクトリ以下に ChangeLog-3.0.1-3.0.2 という名前で置いてあります。
(訳注: Samba 3.0.2a のリリースに従って、既に消されている?)
このリリースについて、バグを見つけたら
https://bugzilla.samba.org/
に登録してください。
従来通り、全てのバグは我々に責任があります。
--Enjoy
The Samba Team
Samba 3.0.2 リリースノート
2004 年 2 月 9 日
これは Samba の最新安定版リリースである。
全ての Samba サーバーが、現在のすべてのバグフィックスのために実行するべきバージョンだ。
Samba 3.0 の以前のバージョンには、mksmbpasswd.sh シェルスクリプトによって作成されたユーザアカウントに対して、攻撃者の認証されないアクセスを許可してしまうというパスワード初期化バグが存在することが確認されている。
Common Vulnerabilities and Exposures project (cve.mitre.org) は、
この問題に対して CAN-2004-0082 という名称を付与している。
現バージョンからのアップグレードを行いたくない Samba 管理者は、Samba3.0.2 をダウンロードして、pdgedit ツールをビルドした上で、以下のように実行して欲しい:
root# pdbedit-3.0.2 --force-initialized-passwords
これにより適切なパスワードを持たないすべてのアカウントが無効となる(パスワード フィールドが X 文字で埋められる)。
Samba 3.0.2 を実行しているサーバには、pdbedit で passdb backend のサニタイジングを行うか否かに関わらず、このバグによる脆弱性に影響されない。
上記に加え、Samba 3.0.1 に存在した、幾つかの深刻なバグが Samba 3.0.2 では対処された:
- Windows 2000 SP2 より前のクライアントからの Samba ドメインへの参加
- Windows XP クライアントからの Samba ドメインへのログオン
- Windows 9x/Me クライアントに対して、smb.conf 変数の %U および %u がうまく動作しない問題
- メモリ上の keytab 検出テストの問題による Kerberos 認証の動作不良
- ntlm_auth ツールの更新
- SMB 署名周りの多数のエラー修正
- ドメインコントローラ探索の際の WINS および DNS クエリの分離を改善
- FreeBSD および Solaris における nss_winbind の問題
- smbd および winbindd がクラッシュする幾つかのバグ
- Samba 2.2 用のスクリプトとの互換性向上のための、smbclient の出力形式の修正
変更点
Samba 3.0.1 からの変更点
smb.conf の変更点
パラメータの名称
|
変更内容
|
ldap replication sleep
|
新設
|
read size
|
削除 (使用されていない)
|
source environment
|
削除 (使用されていない)
|
変更箇所
詳細については、SAMBA_3_0 ブランチの CVS ログを参照のこと。contributor 毎の変更点の一覧については以下のとおり:
- Jeremy Allison
- 平文の samlogon のやりとりを不能とする変更の復旧
- MS-DFS コードが gcc 3.4 でワーニングがでる点の修正
- NTMLSSP コードの整理
- SMB 署名周りのエラーの修正
- BUG 815: Workaround NT4 bug to support plaintext password logins and UNICODE.
- 巨大ファイルをコピーする際に発生する SMB 署名のバグの修正
- mkdir_internals() 関数のエラー処理(--enable-developer を指定した際、パニックを発生させる)の修正
- Petri Asikainen
- BUG 330, 387:Fix single valued attribute updates when working with Novell NDS.
- Andrew Bartlet
- NULL セッションにおいてパイプ毎の NTLMSSP 処理の適正化
- gencache 中のセグメンテーションフォールトの修正
- encrypted_session_key で早期に free() を発行してしまう点の修正
- NetBIOS のドメイン名と DNS 名 (レルム名) とをより厳密に区分するように DC 検索のルーチンを変更
- winbindd が内部で使用する sid_to_dn() 関数を新設
- cli_ds_enum_domain_trusts() のリファクタリング
- BUG 707: Implement range retrieval of ADS attributes (Volker および Guenther Deschner の作業を元にしている).
- セッションキーが有効だと、自動的に署名エンジンを初期化してしまう
- BUG 916: Do not perform a + -> ' ' substitution for squid URL encoded strings, only form input in SWAT.
- 新規ネゴシエーションパケットによって NTLMSSP の状態がリセットされてしまう
- 奇数の文字長の平文パスワードを解析するため、 net_samlogon() のクエリで 2 バイトアラインメント処理を追加
- winbindd においてメンバーのいない Windows グループを許容
- サーバが生成したセッションキーが存在しない場合でも、通常の認証を許容
(原文: Allow normal authentication in the absence of a server generated session key.)
- UNIX グループ一覧の検索を更に最適化
- pam_winbindd および winbindd の PAM インタフェースのエラーコードと戻り値の整理
- ntlm_auth ツールの文字列で返却される文字列の修正
- 'security = ads' が設定されているがレルムが設定される際にセグメンテーションフォールトが発生する問題を修正
- BUG 722: Allow winbindd to map machine accounts to uids.
- winbindd の find_our_domain() のコードを整理
- ドメインコントローラが NT4 か混在モードの Active Directory のドメインコントローラかをより的確に判断(jerry と jmcd による追加のバグ修正)
- DNS によるホストのクエリと Active Directory のドメインコントローラのクエリとを、より厳密に分離
- NT_STATUS と PAM エラーとのマッピングを追加
- Justin Baugh
- BUG 948: Implement missing functions required for FreeBSD nss_winbind support.
- Alexander Bokovoy
- BUG 922: Make sure enable fast path for strlower_m() and strupper_m().
- Luca Bolcioni
- セッションキーを常に初期化するため、'security = server' かつ 'encrypt passwords = no' だとクラッシュする点の修正
- Dmitry Butskoj
- 管理者にも特殊ファイルが隠される点の修正(原文: Fix for special files being hidden from admins)
- Gerald (Jerry) Carter
- "decode_pw: incorrect password length" エラーメッセージを引き起こす、LANMAN セッションキーの生成に関するバグの修正。
- Save the right case for the located user name in fill_sam_account().
Windows 9x クライアントにおける %U/%u の展開の問題点を修正
- BUG 897: Add well known rid for pre win2k compatible access group.
- BUG 887: Correct typo in delete user script example.
- Use short lived TALLOC_CTX* for allocating printer objects from the print handle cache.
- BUG 912: Fix check for HAVE_MEMORY_KEYTAB.
- SUN Forte C コンパイラが出力するワーニングの対応
- Active Directory のドメインコントローラの DNS クエリについて、完全に 'name resolve order' を用いて制御されるように修正
- BUG 770: Send the SMBjobid for UNIX jobs back to the client.
- BUG 972: Fix segfault in cli_ds_getprimarydominfo().
- BUG 936: fix bind credentials for schannel binds in smbd.
- BUG 446: Fix output of smbclient for better compatibility with scripts based on the 2.2 version (including Amanda).
- BUG 891, 949: Fedora packaging fixes.
- rpcclient がサーバに対して不正な SID の照会を行なうバグの修正
(このバグにより、この情報を必要とするすべての問い合わせが失敗する)。
- BUG 977: Don't create a homes share for a user if a static share already exists by the same name.
- 使われていない smb.conf オプションの削除
- mksmbpasswd.sh によって作られたテンプレートアカウントに、disable フラグを設定
- パスワードがなく、ACB_PWNOTREQ ビットが設定されていないアカウントを無効に
- Guenther Deschner
- smbwrapper.so を $(bindir) ではなく $(libdir) にインストールするように修正
- コマンドラインから "net ads password" コマンドで新規ユーザのパスワードを設定できる機能を追加
- SuSE において AFS ヘッダファイルを適切に検出
- James Flemer
- HAVE_SYS_ATTRIBUTES_H に HAVE_ATTR_LIST をリンクすることによる AIX のコンパイルバグを修正
- Luke Howard
- 早期の free() により session setup の reply がセグメンテーションフォールトを引き起こす点の修正
- Stoian Ivanov
- Implement grepable output for smbclient -L.
- LaMont Jones
- BUG 225328 (Debian): Correct false failure LFS test that resulted in _GNU_SOURCE not being defined (thus resulting in strndup() not being defined).
- Volker Lendecke
- BUG 583: Ensure that user names always contain the short version of the domain name.
- LDAP URI の解析ロジックの修正
- SWAT の基本モードで 'afs username map' を表示させない
- NTLMSSP ログインの失敗に関連する SMB 署名関連の問題の修正
- BUG 924: Fix return codes in smbtorture harness.
- AFS コードに処理を渡す前に常にユーザ名を小文字にする
- SWAT のドイツ語翻訳の追加
- winbindd のセグメンテーションフォールトの修正
- reply_spnego_kerberos() から呼び出される register_vuid() に渡されるユーザのドメイン名の修正
- nss_winbind において UNIX の uid と Windows の SID を相互変換する NSS サンプルコードの追加
- 'net' でログインする際のエラーメッセージをより詳細に表示
- net ツールのコンパイラのワーニングを修正
- base64 文字列をデコードする際の文字長のバグを修正
- Ensure we don't call getpwnam() inside a loop that is iterating over users with getpwent(). This broke on glibc 2.3.2.
- Herb Lewis
- Fix bit rot in psec.
- Jianliang Lu
- Ensure we delete the group mapping before calling the delete group script.
- Define well known RID for managing the "Power Users" group.
- BUG 381: check builtin (not local) group SID when updating group membership.
- BUG 101: set the SV_TYPE_PRINTQ_SERVER flag in host announcement packet.
- John Klinger
- Implement initgroups() call in nss_winbind on Solaris.
- Jim McDonough
- Fix regression in net rpc join caused by recent changes to cli_lsa_query_info_policy().
- BUG 964: Fix crash bug in 'net rpc join' using a preexisting machine account.
- MORIYAMA Masayuki
- BUG 570: Ensure that configure honors the LDFLAGS variable.
- Stefan Metzmacher
- Implement LDAP rebind sleep patch.
- Revert to 2.2 quota code because of so many broken quota files out there.
- Fix XFS quotas: HAVE_XFS_QUOTA -> HAVE_XFS_QUOTAS
XFS_USER_QUOTA -> USRQUOTA
XFS_GROUP_QUOTA -> GRPQUOTA
- group quota における disk_free 計算の修正
- Add debug class 'quota' and a lot of DEBUG()'s to the quota code.
- Fix sys_chown() when no chown() is present.
- Add SIGABRT to fault handling in order to catch got a backtrace if an error occurs the OpenLDAP client libs.
-
- Active Directory ドメインへ参加する際に、既存の LDAP コンピュータアカウントを再使用することを可能に
- James Peach
- BUG 889: Change smbd to use pread/pwrite on platforms that support these calls. Can lead to a significant speed increase.
- Tim Potter
- BUG 905: Remove POBAD_CC to fix Solaris Forte compiles.
- BUG 924: Fix typo in RW2 torture test.
- Richard Sharpe
- tortune.c のエラーハンドリングの整理によるクラッシュへの対処
- J. Tournier
- smbldap-tool スクリプトの細かい修正
- Jelmer Vernooij
- Put functions for generating SQL queries in pdb_sql.c
- pgSQL backend の追加 (Hamish Friedlander のパッチを元に)
- BUG 908: Fix -s option to smbcontrol.
- smbget ユーティリティ- SMB/CIFS プロトコル版の wget クローン - の追加
- IRIX プラットホームにおける libnss_wins の修正
- --with-fhs を指定した際の swatdir の修正
|