[Eisfair] [e1] Samba 3.1.5 (Status 'testing') Sicherheitsupdate

Thomas Bork tom at eisfair.org
Do Mai 25 12:09:09 CEST 2017 

Hi @all,

es steht eine Samba-Version 3.1.5 mit dem Status 'testing' für eisfair-1 
zur Verfügung.

Intern wird hierfür 4.6.4 aus der Reihe 4.6.x verwendet.

Mit Erscheinen der Version 4.6.0 wurde die Serie 4.3.x (die wir bisher 
einsetzen) nicht mehr weiter gepflegt. Siehe dazu:

https://wiki.samba.org/index.php/Samba_Release_Planning

4.3.x ist EOL, es gibt damit nicht einmal mehr Sicherheits-Fixes.
Aus aktuellem Anlass - siehe

https://www.samba.org/samba/security/CVE-2017-7494.html

- experimentiere ich daher zwangsläufig mit einer neueren Version. Da 
4.6.x endlich das Hochladen von Druckertreibern auch von Win10 aus 
erlauben soll und im Moment die aktuellste und damit am längsten 
gepflegte Version ist, fiel meine Wahl auf diesen Zweig.

Die nun in 4.6.4 gefixte Lücke rechtfertigt meiner Meinung nach den 
zügigen Wechsel auf die Linie 4.6.x. Jeder ist daher gut beraten, diese 
neue Version schnellstmöglich einzuspielen und Probleme zu melden, damit 
die verwundbare alte stabile Version so schnell wie möglich ersetzt 
werden kann. Siehe dazu:

https://arstechnica.com/security/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/


Das Changelog:

3.1.4 --> 3.1.5
---------------
- 4.6.4 (4.6.4-for-eisfair-1-patch-1, status testing)
- added spoolss_fix_copy_from_directory_32bit-v4-6.patch


3.1.3 --> 3.1.4
---------------
- 4.6.3 (4.6.3-for-eisfair-1-patch-2, status testing)
- added spoolss_fix_copy_from_directory_32bit-v4-6.patch
- /var/install/config.d/samba.sh:
   - changed function do_strict_allocate to safe working
     with spaces in path (Marcus Roeckrath)
   - changed function do_strict_allocate to check /home
     if path is %H


3.1.2 --> 3.1.3
---------------
- 4.6.3 (4.6.3-for-eisfair-1-patch-2, status testing)
- added spoolss_fix_copy_from_directory_32bit-v4-6.patch
- /var/install/config.d/samba.sh:
   - do not use deprecated option "acl check permissions"
     in netlogon by samba as PDC anymore (Juergen Edner)
   - new function do_strict_allocate:
     setting "strict allocate = yes" in the share if the
     underlaying file system is ext4 or xfs which are supporting
     extends. This is needed if you want to backup a
     Windows system to samba shares and for performance reasons,
     see
     https://wiki.samba.org/index.php/Linux_Performance
     https://www.heise.de/newsticker/meldung/c-t-Tipp-der-Woche\
     -Windows-10-Systemabbild-auf-Synology-NAS-3678852.html
   - do not check for user_xattr in mtab because default mount
     options are not listed in newer kernel versions anymore.
     Now the options
       "force unknown acl user = yes"
       "inherit acls = yes"
       "map acl inherit = yes"
       "map hidden = no"
       "map system = no"
       "map archive = no"
       "map read only = no"
       "store dos attributes = yes"
       "ea support = yes"
     are again will be set.


3.1.1 --> 3.1.2
---------------
- 4.6.3 (4.6.3-for-eisfair-1-patch-1, status testing)


3.1.0 --> 3.1.1
---------------
- 4.6.1 (4.6.1-for-eisfair-1-patch-1, status unstable)


2.40.0 --> 3.1.0
-----------------
- 4.6.0 (4.6.0-for-eisfair-1-patch-1, status unstable)
- require base 2.7.9 (was 2.7.2)
- require eiskernel 2.28.0 (was 2.20.1)
- require lprng 2.10.0 (was 2.6.0)
- require libarchive 2.6.1 (was 2.6.0)
- The former eisfair samba version based on 4.3 but is
   EOL. Newer samba versions (4.4, 4.5 and 4.6) are
   coming without pam_smbpass. Thats why there is no
   password synchronization possible anymore with all
   newer samba versions.
- added SAMBA_COMPAT:
   Newer Samba versions improve security with much more
   restrictive settings. This can lead to problems with
   older clients and servers. If setting SAMBA_COMPAT
   to yes these settings are relaxed.
   But keep in mind that this makes your Samba server
   much more insecure. Please always set SAMBA_COMPAT
   to no at first and check your clients and servers
   before setting SAMBA_COMPAT to yes!
- /tmp/preinstall.sh:
   Save versions < 4.6 (was 4.3)
- /var/install/config.d/samba.sh:
   removed 'socket options'


Zu beachten ist, dass eine Rückkehr auf die stabile Samba-Version nur 
mit Handarbeit möglich ist. Dafür wird bei der Installation der neuen 
Version (intern 4.6.x) ein Archiv mit wichtigen Daten der stabilen 
Version (intern 4.3.x) angelegt, wenn von dieser aus installiert wird.

Dieses Archiv wird im home-Verzeichnis von root angelegt und ist nach 
folgendem Muster benannt:

2.40.0_4.3.13_2017-03-24_17:25:54.tar.gz

Mit Unterstrichen getrennt bezeichnet das die vorher installierte 
stabile eisfair-Samba-Version (2.40.0), die interne Samba-Version 
(4.3.13), Datum (2017-03-24), Zeit (17:25:54) und mit dem Punkt 
abgetrennt das Archiv-Format (tar.gz).

Man kommt auf die alte Version mit folgender Prozedur zurück:

1.
Samba und smbfs stoppen.

2.
Die in der Sicherung enthaltenen Dateien und Verzeichnisse zurück 
kopieren, _nachdem_ die auf der Festplatte liegenden Dateien und 
Verzeichnisse entsorgt wurden.

3.
Die alte stabile Version (im obigen Fall 2.40.0) wieder installieren.


Dieses Paket bei http://pack-eis.de:
====================================
eisfair-1: http://www.pack-eis.de/index.php?p=19528

Changelog:
==========
https://www.pack-eis.de/index.php?action=showfile&pid=19528&filename=usr/share/doc/samba/changes.txt


Ich wünsche Euch auch weiterhin viel Spass mit eisfair!


Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair