normalerweise: ja.
Aber ich rechne mit einem Sicherheitspatch auch für Samba 3 und will diese Zeile gar nicht dauerhaft drinhaben.
Liebe.G.
Christoph Gü.
Lieber Christoph,
das hatte ich - vorsichtshalber - auch schon so gemacht .
Wir haben nur Linux-Clients. Ich hoffe, dass die Einstellung keine unerwünschten Nebeneffekte hat…
Viele Grüße
Jürgen
Lieber Manfred,
ich kann das nicht bestätigen: es scheint so zu sein, dass Microsoft den pipe- Support erwünscht, dass aber nicht automatisch die Vertrauensstellung gestört ist, wenn der nt pipe Support entfällt.
Kann das hier jemand mal testen und über seine Erfahrungen berichten? (Das ist ja schnell gemacht,ich habe im Augenblick keinen Windows Client)
Grüße Christoph
ja - Mist - die “named pipes” sind wohl wichtiger für die Domänenanmeldung als ich gehofft habe. Leider verstehe ich hier die sehr sparsame Samba-Doku nicht ganz und auch nicht, weswegen die heise-Leute (und nicht nur die) eben mal dieses grundlegende feature als abschaltbar bezeichnen.
Habe gelesen, dass die redhat-Experten empfehlen, die shares als “noexec” zu mounten. Das müsste man dann wohl auf die Datenshares beschränken, während die Programm-shares das nicht zulassen.
Hat DAS mal jemand ausprobiert ? Schätze, der Patch wird auf sich warten lassen ?
Oder kann ein Samba-Experte hier mal schildern, ob sich die Vertrauensstellungen auch über andere Mechanismen als die named pipes herstellen ließen ?
Guten Nachmittag,
wir haben uns für’s händische Patchen entschlossen. Ob das schlau war oder ob ich’s richtig gemacht habe weiß ich nicht, aber ich bin guten Mutes und wer’s auch versuchen will:
-Quellen runterladen von https://download.samba.org/pub/samba/stable/samba-3.6.25.tar.gz (wie man das aus git holt weiss ich nicht)
irgendwo entpacken und in dieses verzeichnis wechseln
ggf. uberprüfen, ob in der Datei source3/rpc_server/srv_pipe.c in der Funktion
…is_known_pipename(const char…
jetzt die Zeilen
if (strchr(pipename, ‘/’)) {
DEBUG(1, (“Refusing open on pipe %s\n”, pipename));
return false;
}
dazu gekommen sind
in das unterverzeichnis source3 wechseln
./autogen.sh (ging auf dem server, zu hause musste ich ./autogen-waf.sh nehmen)
./configure
make
service smbd stop
make install
-service smbd start
Leider habe ich keine Ahnung, wie man deb-pakete baut sonst würde ich eins bereit stellen, aber vielleicht hilft das obige ja schon. Aber das folgende als Skript speichern und laufen lassen sollte es tun:
#/bin/bash cd /tmp wget https://download.samba.org/pub/samba/stable/samba-3.6.25.tar.gz tar xzf samba-3.6.25.tar.gz cd samba-3.6.25 wget https://download.samba.org/pub/samba/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch patch -p1 <samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch cd source3 ./autogen.sh ./configure make service smbd stop make install service smbd start
Gruß
Sascha
P.S. Nicht vergessen danach den workaround wieder aus der smb.conf zu nehmen
aus der smb.conf entfernt und bin nach Deiner Anleitung vorgegangen, allerdings habe ich Zeile für Zeile ausgeführt.
Auch bei mir MUSS autogen.sh ausgeführt haben, sonst bricht der Compiliervorgang mit Fehlern ab. Das anschließende make / make install lief dann problemlos. (Was mich ganz zu Anfang noch etwas irritierte, ist, dass man die samba-common oder die libwbclient0 nicht auf die neueste Version aktualisieren kann, ohne samba, linuxmuster-schulkonsole usw. komplett wegzuhauen - “Sie haben zurückgehaltene Pakete” - aber: die samba 3.6.25-Version ist ja aber auch die richtige für uns und so konnte der Patch auch funktionieren.).
So, habe jetzt per Fernwartung all das eingespielt - morgen starten die Rechner -leider nur Ubuntu-Clients - und dann sehen wir mal weiter …
ich habe einen Snapshoot und habe deshalb mutig mit “nein” geantwortet. Im weiteren Verlauf kam dann die Frage die ich gewohnt bin. Dort habe ich die Option “alte Konfiguration beibehalten” ausgewählt.