Distribution EOLE » Modules » Horus

Cela est dû à la diffusion de patch de sécurité Samba par Ubuntu (http://www.ubuntu.com/usn/usn-2950-1/).

Notamment le correctif CVE-2016-2118 qui nécessite l’application d’un correctif sur le poste client aussi CVE-2016-0128 corrigé chez Microsoft par MS16-047.

Christophe Dezé signale que l’ajout du paramètre allow dcerpc auth level connect = yes permet aux postes clients non corrigés de se connecter, information du CVE-2016-2118 :

===================
New smb.conf option
===================

  allow dcerpc auth level connect (G)

    This option controls whether DCERPC services are allowed to be used with
    DCERPC_AUTH_LEVEL_CONNECT, which provides authentication, but no per
    message integrity nor privacy protection.

    Some interfaces like samr, lsarpc and netlogon have a hard-coded default
    of no and epmapper, mgmt and rpcecho have a hard-coded default of yes.

    The behavior can be overwritten per interface name (e.g. lsarpc,
    netlogon, samr, srvsvc, winreg, wkssvc ...) by using
    'allow dcerpc auth level connect:interface = yes' as option.

    This option yields precedence to the implementation specific restrictions.
    E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY.
    The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY.

    Default: allow dcerpc auth level connect = no

    Example: allow dcerpc auth level connect = yes

Des problèmes de connexion ont été remonté malgré la modification du paramètre allow dcerpc auth level connect = yes.

Des signalements ont été remontés pour différentes distributions

• Debian#821811
• Ubuntu#1572122
• RedHat#1326918

Environnement:

• Scribe 2.5.2 avec samba 2:4.3.8+dfsg-0ubuntu0.14.04.2 sans modifier le paramètre allow dcerpc auth level connect
• Poste windows10 version 1511 sans la mise à jour 3140768
• Poste windows7 sans la mise à jour 3101246

Test effectué :

1. Application du fichier de base de registre (\\scribe\admin\perso\Win_Samba3DomainMember.reg) sur les postes clients
2. Intégration manuelle des postes windows au domaine => OK
3. Connexion d’un utilisateur => OK

Environnement :

• Scribe 2.4.2 avec samba à jour 2:3.6.25-0ubuntu0.12.04.2 sans modifier le paramètre allow dcerpc auth level connect
• Poste windows10 version 1511 sans la mise à jour 3140768
• Poste windows7 sans la mise à jour 3101246

Test effectué :

1. Application du fichier de base de registre (\\scribe\admin\perso\esu\Console\Win_Samba3DomainMember.reg) sur les postes clients
2. Intégration manuelle des postes windows au domaine => OK
3. Connexion d’un utilisateur => NOK La relation d’approbation entre cette station de travail et le domaine principal a échoué

1. Application du patch pour ajouter allow dcerpc auth level connect = yes
2. reconfigure
3. redémarrage du poste
4. Connexion d’un utilisateur => NOK La relation d’approbation entre cette station de travail et le domaine principal a échoué

Complément d'information :

Après le downgrade de la version de samba de 3.6.25 vers 3.6.3, le test diagnose sur Partage SMB/TCP ne fonctionne plus avec une connexion anonyme.
La commande utilisée pour le test ne passe plus : smbclient -L localhost -U=admin%.

Après le test précédent (#15937#note-14) :

1. Mise à jour du poste windows10 version 1511 (utilisation d’une connexion locale)
2. Connexion d’un utilisateur OK.

Comme rapporté dans la demande Ubuntu :

La modification de la configuration par le patch smb.conf.patch ne permet pas de se connecter depuis des stations windows non corrigées.

Il faut donc intégrer le correctif windows.

EOLE 2.4:

Windows 7 32 bits PAS à jour.

Installation de Windows6.1-KB3149090-x86.msu
https://www.microsoft.com/en-us/download/confirmation.aspx?id=51829

=> Impossible d'ouvrir une session

Installation de Windows6.1-KB3149090-x86.msu + Internet Explorer 11 pour Windows 7
https://www.microsoft.com/fr-fr/download/internet-explorer-11-for-windows-7-details.aspx

=> Ouverture de session OK

Dans l'urgence, on peut downgrader la version de Samba depuis Zéphir en exécutant le fichier

https://dev-eole.ac-dijon.fr/attachments/download/1630/downgrade-samba.sh

(Attention, cette commande exécute un 'reconfigure')

$ cat downgrade-samba.sh 
#!/bin/bash
cat > /etc/apt/preferences.d/samba <<EOF
Package: samba
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: *-winbind
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: smbclient
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: libwbclient0
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001

Package: samba-*
Pin: release release v=12.04,o=Ubuntu,a=precise,n=precise,l=Ubuntu,c=main
Pin-Priority: 1001
EOF

apt-get -c /etc/apt/apt-eole.conf dist-upgrade --force-yes
reconfigure

Dans la note #23 on voit que Maj-Auto essaye d'installer samba (2:3.6.3-2ubuntu2), normal car le serveur n'était pas à jour.

Seul le fichier /etc/apt/preferences.d/samba a été créé et Maj-Auto a été exécuté tout de suite après.

• Maj-Auto (installe la dernière version de Samba ET tous les autres paquets à mettre à jour)
• downgrade-samba.sh (revient en arrière sur Samba 3.6.3)

Il semblerait que la régression ait été corrigé :

- Precise Pangolin : samba version 2:3.6.25-0ubuntu0.12.04.3
- Trusty Tahr : samba version 2:4.3.9+dfsg-0ubuntu0.14.04.1

Après le test précédent (#15937#note-26):

1. Installation de la mise à jour Windows7 3101246
2. Connexion d’un utilisateur => OK