Contents

Sambaとは?
Samba日本語版
ドキュメント
技術情報
紹介＆リンク
Community
プロジェクト
メーリングリスト
イベント
ユーザー会
etc...
お問合せ
ご支援・ご協力

日本 Samba ユーザ会 (Samba Users Group Japan)

Samba 3.0.2 が入手可能になりました

これは Samba の最新安定版リリースです。このバージョンは、現在確認されているすべてのバグ修正を適用するために、業務に利用しているすべてのSambaサーバにおいて実行すべきものです。

Security アナウンス: Samba 3.0 の以前のバージョンには、mksmbpasswd.sh シェルスクリプトによって作成されたユーザアカウントに対して、攻撃者の認証されないアクセスを許可してしまうというパスワード初期化バグが存在することが確認されています。

Common Vulnerabilities and Exposures project (cve.mitre.org) は、この問題に対して CAN-2004-0082 という名称を付与しています。

現バージョンからのアップグレードを行いたくない Samba 管理者は、Samba 3.0.2 をダウンロードして、 pdgedit ツールをビルドした上で、以下のように実行してください:

root# pdbedit-3.0.2 --force-initialized-passwords

これにより適切なパスワードを持たないすべてのアカウントが無効となります(パスワードフィールドが X 文字で埋められます)。

Samba 3.0.2 を実行しているサーバには、pdbedit で passdb backend のサニタイジングを行うか否かに関わらず、このバグによる脆弱性に影響されません。

上記に加え、Samba 3.0.1 に存在した、幾つかの深刻なバグが Samba 3.0.2 では対処されています:

Windows 2000 SP2 より前のクライアントからの Samba ドメインへの参加
Windows XP クライアントからの Samba ドメインへのログオン
Windows 9x/Me クライアントに対して、smb.conf 変数の %U および %u がうまく動作しない問題
メモリ上の keytab 検出テストの問題による Kerberos 認証の動作不良
ntlm_auth ツールの更新
SMB 署名周りの多数のエラー修正
ドメインコントローラ探索の際の WINS および DNS クエリの分離を改善
FreeBSD および Solaris における nss_winbind の問題
smbd および winbindd がクラッシュする幾つかのバグ
Samba 2.2 用のスクリプトとの互換性向上のための、smbclient の出力形式の修正

ソースコードは、以下からダウンロードすることが可能です: http://download.samba.org/samba/ftp/

展開された tar ボールとパッチファイルは、GnuPG によって署名されています。Samba 公開鍵は以下から入手可能です: http://download.samba.org/samba/ftp/samba-pubkey.asc

バイナリパッケージは、以下から入手可能です: http://download.samba.org/samba/ftp/Binary_Packages/

3.0.1 からの更新について、簡易な CVS ログを download ディレクトリ以下に ChangeLog-3.0.1-3.0.2 という名前で置いてあります。
(訳注： Samba 3.0.2a のリリースに従って、既に消されている？）

このリリースについて、バグを見つけたら https://bugzilla.samba.org/ に登録してください。

従来通り、全てのバグは我々に責任があります。

                                  --Enjoy
                                  The Samba Team

Samba 3.0.2 リリースノート
2004 年 2 月 9 日

これは Samba の最新安定版リリースである。全ての Samba サーバーが、現在のすべてのバグフィックスのために実行するべきバージョンだ。

Samba 3.0 の以前のバージョンには、mksmbpasswd.sh シェルスクリプトによって作成されたユーザアカウントに対して、攻撃者の認証されないアクセスを許可してしまうというパスワード初期化バグが存在することが確認されている。

Common Vulnerabilities and Exposures project (cve.mitre.org) は、この問題に対して CAN-2004-0082 という名称を付与している。

現バージョンからのアップグレードを行いたくない Samba 管理者は、Samba3.0.2 をダウンロードして、pdgedit ツールをビルドした上で、以下のように実行して欲しい:

root# pdbedit-3.0.2 --force-initialized-passwords

これにより適切なパスワードを持たないすべてのアカウントが無効となる(パスワードフィールドが X 文字で埋められる)。

Samba 3.0.2 を実行しているサーバには、pdbedit で passdb backend のサニタイジングを行うか否かに関わらず、このバグによる脆弱性に影響されない。

上記に加え、Samba 3.0.1 に存在した、幾つかの深刻なバグが Samba 3.0.2 では対処された:

Windows 2000 SP2 より前のクライアントからの Samba ドメインへの参加
Windows XP クライアントからの Samba ドメインへのログオン
Windows 9x/Me クライアントに対して、smb.conf 変数の %U および %u がうまく動作しない問題
メモリ上の keytab 検出テストの問題による Kerberos 認証の動作不良
ntlm_auth ツールの更新
SMB 署名周りの多数のエラー修正
ドメインコントローラ探索の際の WINS および DNS クエリの分離を改善
FreeBSD および Solaris における nss_winbind の問題
smbd および winbindd がクラッシュする幾つかのバグ
Samba 2.2 用のスクリプトとの互換性向上のための、smbclient の出力形式の修正

変更点

Samba 3.0.1 からの変更点

smb.conf の変更点

パラメータの名称	変更内容
ldap replication sleep	新設
read size	削除 (使用されていない)
source environment	削除 (使用されていない)

変更箇所

詳細については、SAMBA_3_0 ブランチの CVS ログを参照のこと。contributor 毎の変更点の一覧については以下のとおり:

Jeremy Allison: 平文の samlogon のやりとりを不能とする変更の復旧; MS-DFS コードが gcc 3.4 でワーニングがでる点の修正; NTMLSSP コードの整理; SMB 署名周りのエラーの修正; BUG 815: Workaround NT4 bug to support plaintext password logins and UNICODE.; 巨大ファイルをコピーする際に発生する SMB 署名のバグの修正; mkdir_internals() 関数のエラー処理(--enable-developer を指定した際、パニックを発生させる)の修正
Petri Asikainen: BUG 330, 387:Fix single valued attribute updates when working with Novell NDS.
Andrew Bartlet: NULL セッションにおいてパイプ毎の NTLMSSP 処理の適正化; gencache 中のセグメンテーションフォールトの修正; encrypted_session_key で早期に free() を発行してしまう点の修正; NetBIOS のドメイン名と DNS 名 (レルム名) とをより厳密に区分するように DC 検索のルーチンを変更; winbindd が内部で使用する sid_to_dn() 関数を新設; cli_ds_enum_domain_trusts() のリファクタリング; BUG 707: Implement range retrieval of ADS attributes (Volker および Guenther Deschner の作業を元にしている).; セッションキーが有効だと、自動的に署名エンジンを初期化してしまう; BUG 916: Do not perform a + -> ' ' substitution for squid URL encoded strings, only form input in SWAT.; 新規ネゴシエーションパケットによって NTLMSSP の状態がリセットされてしまう; 奇数の文字長の平文パスワードを解析するため、 net_samlogon() のクエリで 2 バイトアラインメント処理を追加; winbindd においてメンバーのいない Windows グループを許容; サーバが生成したセッションキーが存在しない場合でも、通常の認証を許容
(原文: Allow normal authentication in the absence of a server generated session key.); UNIX グループ一覧の検索を更に最適化; pam_winbindd および winbindd の PAM インタフェースのエラーコードと戻り値の整理; ntlm_auth ツールの文字列で返却される文字列の修正; 'security = ads' が設定されているがレルムが設定される際にセグメンテーションフォールトが発生する問題を修正; BUG 722: Allow winbindd to map machine accounts to uids.; winbindd の find_our_domain() のコードを整理; ドメインコントローラが NT4 か混在モードの Active Directory のドメインコントローラかをより的確に判断(jerry と jmcd による追加のバグ修正); DNS によるホストのクエリと Active Directory のドメインコントローラのクエリとを、より厳密に分離; NT_STATUS と PAM エラーとのマッピングを追加
Justin Baugh: BUG 948: Implement missing functions required for FreeBSD nss_winbind support.
Alexander Bokovoy: BUG 922: Make sure enable fast path for strlower_m() and strupper_m().
Luca Bolcioni: セッションキーを常に初期化するため、'security = server' かつ 'encrypt passwords = no' だとクラッシュする点の修正
Dmitry Butskoj: 管理者にも特殊ファイルが隠される点の修正(原文: Fix for special files being hidden from admins)
Gerald (Jerry) Carter: "decode_pw: incorrect password length" エラーメッセージを引き起こす、LANMAN セッションキーの生成に関するバグの修正。; Save the right case for the located user name in fill_sam_account().
Windows 9x クライアントにおける %U/%u の展開の問題点を修正; BUG 897: Add well known rid for pre win2k compatible access group.; BUG 887: Correct typo in delete user script example.; Use short lived TALLOC_CTX* for allocating printer objects from the print handle cache.; BUG 912: Fix check for HAVE_MEMORY_KEYTAB.; SUN Forte C コンパイラが出力するワーニングの対応; Active Directory のドメインコントローラの DNS クエリについて、完全に 'name resolve order' を用いて制御されるように修正; BUG 770: Send the SMBjobid for UNIX jobs back to the client.; BUG 972: Fix segfault in cli_ds_getprimarydominfo().; BUG 936: fix bind credentials for schannel binds in smbd.; BUG 446: Fix output of smbclient for better compatibility with scripts based on the 2.2 version (including Amanda).; BUG 891, 949: Fedora packaging fixes.; rpcclient がサーバに対して不正な SID の照会を行なうバグの修正
(このバグにより、この情報を必要とするすべての問い合わせが失敗する)。; BUG 977: Don't create a homes share for a user if a static share already exists by the same name.; 使われていない smb.conf オプションの削除; mksmbpasswd.sh によって作られたテンプレートアカウントに、disable フラグを設定; パスワードがなく、ACB_PWNOTREQ ビットが設定されていないアカウントを無効に
Guenther Deschner: smbwrapper.so を $(bindir) ではなく $(libdir) にインストールするように修正; コマンドラインから "net ads password" コマンドで新規ユーザのパスワードを設定できる機能を追加; SuSE において AFS ヘッダファイルを適切に検出
James Flemer: HAVE_SYS_ATTRIBUTES_H に HAVE_ATTR_LIST をリンクすることによる AIX のコンパイルバグを修正
Luke Howard: 早期の free() により session setup の reply がセグメンテーションフォールトを引き起こす点の修正
Stoian Ivanov: Implement grepable output for smbclient -L.
LaMont Jones: BUG 225328 (Debian): Correct false failure LFS test that resulted in _GNU_SOURCE not being defined (thus resulting in strndup() not being defined).
Volker Lendecke: BUG 583: Ensure that user names always contain the short version of the domain name.; LDAP URI の解析ロジックの修正; SWAT の基本モードで 'afs username map' を表示させない; NTLMSSP ログインの失敗に関連する SMB 署名関連の問題の修正; BUG 924: Fix return codes in smbtorture harness.; AFS コードに処理を渡す前に常にユーザ名を小文字にする; SWAT のドイツ語翻訳の追加; winbindd のセグメンテーションフォールトの修正; reply_spnego_kerberos() から呼び出される register_vuid() に渡されるユーザのドメイン名の修正; nss_winbind において UNIX の uid と Windows の SID を相互変換する NSS サンプルコードの追加; 'net' でログインする際のエラーメッセージをより詳細に表示; net ツールのコンパイラのワーニングを修正; base64 文字列をデコードする際の文字長のバグを修正; Ensure we don't call getpwnam() inside a loop that is iterating over users with getpwent(). This broke on glibc 2.3.2.
Herb Lewis: Fix bit rot in psec.
Jianliang Lu: Ensure we delete the group mapping before calling the delete group script.; Define well known RID for managing the "Power Users" group.; BUG 381: check builtin (not local) group SID when updating group membership.; BUG 101: set the SV_TYPE_PRINTQ_SERVER flag in host announcement packet.
John Klinger: Implement initgroups() call in nss_winbind on Solaris.
Jim McDonough: Fix regression in net rpc join caused by recent changes to cli_lsa_query_info_policy().; BUG 964: Fix crash bug in 'net rpc join' using a preexisting machine account.
MORIYAMA Masayuki: BUG 570: Ensure that configure honors the LDFLAGS variable.
Stefan Metzmacher: Implement LDAP rebind sleep patch.; Revert to 2.2 quota code because of so many broken quota files out there.; Fix XFS quotas: HAVE_XFS_QUOTA -> HAVE_XFS_QUOTAS XFS_USER_QUOTA -> USRQUOTA XFS_GROUP_QUOTA -> GRPQUOTA; group quota における disk_free 計算の修正; Add debug class 'quota' and a lot of DEBUG()'s to the quota code.; Fix sys_chown() when no chown() is present.; Add SIGABRT to fault handling in order to catch got a backtrace if an error occurs the OpenLDAP client libs.
: Active Directory ドメインへ参加する際に、既存の LDAP コンピュータアカウントを再使用することを可能に
James Peach: BUG 889: Change smbd to use pread/pwrite on platforms that support these calls. Can lead to a significant speed increase.
Tim Potter: BUG 905: Remove POBAD_CC to fix Solaris Forte compiles.; BUG 924: Fix typo in RW2 torture test.
Richard Sharpe: tortune.c のエラーハンドリングの整理によるクラッシュへの対処
J. Tournier: smbldap-tool スクリプトの細かい修正
Jelmer Vernooij: Put functions for generating SQL queries in pdb_sql.c; pgSQL backend の追加 (Hamish Friedlander のパッチを元に); BUG 908: Fix -s option to smbcontrol.; smbget ユーティリティ- SMB/CIFS プロトコル版の wget クローン - の追加; IRIX プラットホームにおける libnss_wins の修正; --with-fhs を指定した際の swatdir の修正

Samba 3.0.2 が入手可能になりました

Samba 3.0.2 リリースノート 2004 年 2 月 9 日

変更点

Samba 3.0.1 からの変更点

smb.conf の変更点

変更箇所

Samba 3.0.2 リリースノート
2004 年 2 月 9 日