s3:smbd: add private option NTCREATEX_OPTIONS_PRIVATE_STREAM_BASEOPEN
[Samba.git] / WHATSNEW.txt
blob54a939867c0dabe59b5a4c65beb8a8e073f88c9e
1                    =============================
2                    Release Notes for Samba 4.7.8
3                            June 21, 2018
4                    =============================
7 This is the latest stable release of the Samba 4.7 release series.
10 Changes since 4.7.7:
11 --------------------
13 o  Jeremy Allison <jra@samba.org>
14    * BUG 13380: s3: smbd: Generic fix for incorrect reporting of stream dos
15      attributes on a directory.
16    * BUG 13412: ceph: VFS: Add asynchronous fsync to ceph module, fake using
17      synchronous call.
18    * BUG 13419: s3: libsmbclient: Fix hard-coded connection error return of
19      ETIMEDOUT.
20    * BUG 13428: s3: smbd: Fix SMB2-FLUSH against directories.
21    * BUG 13457: s3: smbd: printing: Re-implement delete-on-close semantics for
22      print files missing since 3.5.x.
23    * BUG 13474: python: Fix talloc frame use in make_simple_acl().
25 o  Andrew Bartlett <abartlet@samba.org>
26    * BUG 13430: winbindd on the AD DC is slow for passdb queries.
27    * BUG 13454: No Backtrace given by Samba's AD DC by default. 
29 o  Ralph Boehme <slow@samba.org>
30    * BUG 13332: winbindd doesn't recover loss of netlogon secure channel in
31      case the peer DC is rebooted.
32    * BUG 13432: s3:smbd: Fix interaction between chown and SD flags.
34 o  Günther Deschner <gd@samba.org>
35    * BUG 13437: s4-heimdal: Fix the format-truncation errors.
37 o  David Disseldorp <ddiss@samba.org>
38    * BUG 13425: vfs_ceph: Add fake async pwrite/pread send/recv hooks.
40 o  Björn Jacke <bjacke@samba.org>
41    * BUG 13395: printing: Return the same error code as Windows does on upload
42      failures.
44 o  Volker Lendecke <vl@samba.org>
45    * BUG 13290: winbind: Improve child selection.
46    * BUG 13292: winbind: Maintain a binding handle per domain and always go via
47      wb_domain_request_send().
48    * BUG 13332: winbindd doesn't recover loss of netlogon secure channel in
49      case the peer DC is rebooted.
50    * BUG 13369: Looking up the user using the UPN results in user name with the
51      REALM instead of the DOMAIN.
52    * BUG 13370: rpc_server: Init local_server_* in
53      make_internal_rpc_pipe_socketpair.
54    * BUG 13382: smbclient: Fix broken notify. 
56 o  Stefan Metzmacher <metze@samba.org>
57    * BUG 13273: libads: Fix the build --without-ads.
58    * BUG 13279: winbindd: Don't split the rid for SID_NAME_DOMAIN sids in
59      wb_lookupsids.
60    * BUG 13280: winbindd: initialize type = SID_NAME_UNKNOWN in
61      wb_lookupsids_single_done().
62    * BUG 13289: s4:rpc_server: Fix call_id truncation in
63      dcesrv_find_fragmented_call().
64    * BUG 13290:  A disconnecting winbind client can cause a problem in the
65      winbind parent child communication.
66    * BUG 13291: tevent: version 0.9.36
67         - improve documentation of tevent_queue_add_optimize_empty()
68         - add tevent_queue_entry_untrigger()
69    * BUG 13292: winbind: Use one queue for all domain children.
70    * BUG 13293: Minimize the lifetime of winbindd_cli_state->{pw,gr}ent_state.
71    * BUG 13294: winbind should avoid using fstrcpy(domain->dcname,...) on a
72      char *.
73    * BUG 13295: The winbind parent should find the dc of a foreign domain via
74      the primary domain.
75    * BUG 13400: nsswitch: Fix memory leak in winbind_open_pipe_sock() when the
76      privileged pipe is not accessable.
77    * BUG 13427: Fix broken server side GENSEC_FEATURE_LDAP_STYLE handling
78      (NTLMSSP NTLM2 packet check failed due to invalid signature!).
80 o  Vandana Rungta <vrungta@amazon.com>
81    * BUG 13424: s3: VFS: Fix memory leak in vfs_ceph.
83 o  Christof Schmitt <cs@samba.org>
84    * BUG 13407: rpc_server: Fix NetSessEnum with stale sessions.
85    * BUG 13446: dfree cache returning incorrect data for sub directory mounts. 
87 o  Andreas Schneider <asn@samba.org>
88    * BUG 13369: Looking up the user using the UPN results in user name with the
89      REALM instead of the DOMAIN.
90    * BUG 13376: s3:passdb: Do not return OK if we don't have pinfo set up.
91    * BUG 13440: s3:utils: Do not segfault on error in DoDNSUpdate().
94 #######################################
95 Reporting bugs & Development Discussion
96 #######################################
98 Please discuss this release on the samba-technical mailing list or by
99 joining the #samba-technical IRC channel on irc.freenode.net.
101 If you do report problems then please try to send high quality
102 feedback. If you don't provide vital information to help us track down
103 the problem then you will probably be ignored.  All bug reports should
104 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
105 database (https://bugzilla.samba.org/).
108 ======================================================================
109 == Our Code, Our Bugs, Our Responsibility.
110 == The Samba Team
111 ======================================================================
114 Release notes for older releases follow:
115 ----------------------------------------
117                    =============================
118                    Release Notes for Samba 4.7.7
119                            April 17, 2018
120                    =============================
123 This is the latest stable release of the Samba 4.7 release series.
126 Changes since 4.7.6:
127 --------------------
129 o  Jeremy Allison <jra@samba.org>
130    * BUG 13206: s4:auth_sam: Allow logons with an empty domain name.
131    * BUG 13244: s3: ldap: Ensure the ADS_STRUCT pointer doesn't get freed on
132      error, we don't own it here.
133    * BUG 13270: s3: smbd: Fix possible directory fd leak if the underlying
134      OS doesn't support fdopendir().
135    * BUG 13319: Round-tripping ACL get/set through vfs_fruit will increase
136      the number of ACE entries without limit.
137    * BUG 13347: s3: smbd: SMB2: Add DBGC_SMB2_CREDITS class to specifically
138      debug credit issues.
139    * BUG 13358: s3: smbd: Files or directories can't be opened DELETE_ON_CLOSE
140      without delete access.
141    * BUG 13372: s3: smbd: Fix memory leak in vfswrap_getwd().
142    * BUG 13375: s3: smbd: Unix extensions attempts to change wrong field
143      in fchown call.
145 o  Ralph Boehme <slow@samba.org>
146    * BUG 13363: s3:smbd: Don't use the directory cache for SMB2/3.
148 o  Günther Deschner <gd@samba.org>
149    * BUG 13277: build: Fix libceph-common detection.
151 o  David Disseldorp <ddiss@suse.de>
152    * BUG 13250: build: Fix ceph_statx check when configured with libcephfs_dir.
154 o  Poornima G <pgurusid@redhat.com>
155    * BUG 13297: vfs_glusterfs: Fix the wrong pointer being sent in
156      glfs_fsync_async.
158 o  Amitay Isaacs <amitay@gmail.com>
159    * BUG 13359: ctdb-scripts: Drop 'net serverid wipe' from 50.samba event
160      script.
162 o  Lutz Justen <ljusten@google.com>
163    * BUG 13368: s3: lib: messages: Don't use the result of sec_init() before
164      calling sec_init().
166 o  Volker Lendecke <vl@samba.org>
167    * BUG 13215: smbd can panic if the client-supplied channel sequence number
168      wraps.
169    * BUG 13367: dsdb: Fix CID 1034966 Uninitialized scalar variable.
171 o  Stefan Metzmacher <metze@samba.org>
172    * BUG 13206: s3:libsmb: Allow -U"\\administrator" to work.
173    * BUG 13328: Windows 10 cannot logon on Samba NT4 domain.
175 o  David Mulder <dmulder@suse.com>
176    * BUG 13050: smbc_opendir should not return EEXIST with invalid login
177      credentials.
179 o  Anton Nefedov
180    * BUG 13338: s3:smbd: map nterror on smb2_flush errorpath.
182 o  Dan Robertson <drobertson@tripwire.com>
183    * BUG 13310: libsmb: Use smb2 tcon if conn_protocol >= SMB2_02.
185 o  Garming Sam <garming@catalyst.net.nz>
186    * BUG 13031: subnet: Avoid a segfault when renaming subnet objects.
188 o  Christof Schmitt <cs@samba.org>
189    * BUG 13312: 'wbinfo --name-to-sid' returns misleading result on invalid
190      query.
192 o  Andreas Schneider <asn@samba.org>
193    * BUG 13315: s3:smbd: Do not crash if we fail to init the session table.
195 o  Eric Vannier <evannier@google.com>
196    * BUG 13302: Allow AESNI to be used on all processor supporting AESNI.
199 #######################################
200 Reporting bugs & Development Discussion
201 #######################################
203 Please discuss this release on the samba-technical mailing list or by
204 joining the #samba-technical IRC channel on irc.freenode.net.
206 If you do report problems then please try to send high quality
207 feedback. If you don't provide vital information to help us track down
208 the problem then you will probably be ignored.  All bug reports should
209 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
210 database (https://bugzilla.samba.org/).
213 ======================================================================
214 == Our Code, Our Bugs, Our Responsibility.
215 == The Samba Team
216 ======================================================================
219 ----------------------------------------------------------------------
222                    =============================
223                    Release Notes for Samba 4.7.6
224                            March 13, 2018
225                    =============================
228 This is a security release in order to address the following defects:
230 o  CVE-2018-1050 (Denial of Service Attack on external print server.) 
231 o  CVE-2018-1057 (Authenticated users can change other users' password.)
234 =======
235 Details
236 =======
238 o  CVE-2018-1050:
239    All versions of Samba from 4.0.0 onwards are vulnerable to a denial of
240    service attack when the RPC spoolss service is configured to be run as
241    an external daemon. Missing input sanitization checks on some of the
242    input parameters to spoolss RPC calls could cause the print spooler
243    service to crash.
245    There is no known vulnerability associated with this error, merely a
246    denial of service. If the RPC spoolss service is left by default as an
247    internal service, all a client can do is crash its own authenticated
248    connection.
250 o  CVE-2018-1057:
251    On a Samba 4 AD DC the LDAP server in all versions of Samba from
252    4.0.0 onwards incorrectly validates permissions to modify passwords
253    over LDAP allowing authenticated users to change any other users'
254    passwords, including administrative users.
256    Possible workarounds are described at a dedicated page in the Samba wiki:
257    https://wiki.samba.org/index.php/CVE-2018-1057
260 Changes since 4.7.5:
261 --------------------
263 o  Jeremy Allison <jra@samba.org>
264    * BUG 11343: CVE-2018-1050: Codenomicon crashes in spoolss server code.
266 o  Ralph Boehme <slow@samba.org>
267    * BUG 13272: CVE-2018-1057: Unprivileged user can change any user (and admin)
268      password.
270 o  Stefan Metzmacher <metze@samba.org>
271    * BUG 13272: CVE-2018-1057: Unprivileged user can change any user (and admin)
272      password.
275 #######################################
276 Reporting bugs & Development Discussion
277 #######################################
279 Please discuss this release on the samba-technical mailing list or by
280 joining the #samba-technical IRC channel on irc.freenode.net.
282 If you do report problems then please try to send high quality
283 feedback. If you don't provide vital information to help us track down
284 the problem then you will probably be ignored.  All bug reports should
285 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
286 database (https://bugzilla.samba.org/).
289 ======================================================================
290 == Our Code, Our Bugs, Our Responsibility.
291 == The Samba Team
292 ======================================================================
295 ----------------------------------------------------------------------
298                    =============================
299                    Release Notes for Samba 4.7.5
300                           February 7, 2018
301                    =============================
304 This is the latest stable release of the Samba 4.7 release series.
306 Major enhancements include:
308 o  BUG 13228: This is a major issue in Samba's ActiveDirectory domain
309    controller code. It might happen that AD objects have missing or broken
310    linked attributes. This could lead to broken group memberships e.g.
311    All Samba AD domain controllers set up with Samba 4.6 or lower and then
312    upgraded to 4.7 are affected. The corrupt database can be fixed with
313    'samba-tool dbcheck --cross-ncs --fix'.
316 Changes since 4.7.4:
317 --------------------
319 o  Jeremy Allison <jra@samba.org>
320    * BUG 13193: smbd tries to release not leased oplock during oplock II
321      downgrade.
323 o  Ralph Boehme <slow@samba.org>
324    * BUG 13181: Fix copying file with empty FinderInfo from Windows client
325      to Samba share with fruit.
327 o  Günther Deschner <gd@samba.org>
328    * BUG 10976: build: Deal with recent glibc sunrpc header removal.
329    * BUG 13238: Make Samba work with tirpc and libnsl2.
331 o  David Disseldorp <ddiss@samba.org>
332    * BUG 13208: vfs_ceph: Add fs_capabilities hook to avoid local statvfs.
334 o  Love Hornquist Astrand <lha@h5l.org>
335    * BUG 12986: Kerberos: PKINIT: Can't decode algorithm parameters in
336      clientPublicValue.
338 o  Amitay Isaacs <amitay@gmail.com>
339    * BUG 13188: ctdb-recovery-helper: Deregister message handler in error
340      paths.
342 o  Volker Lendecke <vl@samba.org>
343    * BUG 13240: samba: Only use async signal-safe functions in signal handler.
345 o  Stefan Metzmacher <metze@samba.org>
346    * BUG 12986: Kerberos: PKINIT: Can't decode algorithm parameters in
347      clientPublicValue.
348    * BUG 13228: repl_meta_data: Fix linked attribute corruption on databases
349      with unsorted links on expunge. dbcheck: Add functionality to fix the
350      corrupt database.
352 o  Christof Schmitt <cs@samba.org>
353    * BUG 13189: Fix smbd panic when chdir returns error during exit.
355 o  Andreas Schneider <asn@samba.org>
356    * BUG 13238: Make Samba work with tirpc and libnsl2.
358 o  Uri Simchoni <uri@samba.org>
359    * BUG 13176: Fix POSIX ACL support on HPUX and possibly other big-endian OSs.
362 #######################################
363 Reporting bugs & Development Discussion
364 #######################################
366 Please discuss this release on the samba-technical mailing list or by
367 joining the #samba-technical IRC channel on irc.freenode.net.
369 If you do report problems then please try to send high quality
370 feedback. If you don't provide vital information to help us track down
371 the problem then you will probably be ignored.  All bug reports should
372 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
373 database (https://bugzilla.samba.org/).
376 ======================================================================
377 == Our Code, Our Bugs, Our Responsibility.
378 == The Samba Team
379 ======================================================================
382 ----------------------------------------------------------------------
385                    =============================
386                    Release Notes for Samba 4.7.4
387                           December 22, 2017
388                    =============================
391 This is the latest stable release of the Samba 4.7 release series.
394 smbclient reparse point symlink parameters reversed
395 ===================================================
397 A bug in smbclient caused the 'symlink' command to reverse the
398 meaning of the new name and link target parameters when creating a
399 reparse point symlink against a Windows server.
401 This only affects using the smbclient 'symlink' command against
402 a Windows server, not a Samba server using the UNIX extensions
403 (the parameter order is correct in that case) so no existing
404 user scripts that depend on creating symlinks on Samba servers
405 need to change.
407 As this is a little used feature the ordering of these parameters
408 has been reversed to match the parameter ordering of the UNIX
409 extensions 'symlink' command. This means running 'symlink' against
410 both Windows and Samba now uses the same paramter ordering in both
411 cases.
413 The usage message for this command has also been improved to remove confusion.
416 Changes since 4.7.3:
417 --------------------
419 o  Jeremy Allison <jra@samba.org>
420    * BUG 13140: s3: smbclient: Implement 'volume' command over SMB2.
421    * BUG 13171: s3: libsmb: Fix valgrind read-after-free error in
422      cli_smb2_close_fnum_recv().
423    * BUG 13172: s3: libsmb: Fix reversing of oldname/newname paths when creating
424      a reparse point symlink on Windows from smbclient.
426 o  Timur I. Bakeyev <timur@iXsystems.com>
427    * BUG 12934: Build man page for vfs_zfsacl.8 with Samba.
429 o  Andrew Bartlett <abartlet@samba.org>
430    * BUG 13095: repl_meta_data: Allow delete of an object with dangling
431      backlinks.
432    * BUG 13129: s4:samba: Fix default to be running samba as a deamon.
433    * BUG 13191: Performance regression in DNS server with introduction of
434      DNS wildcard, ldb: Release 1.2.3
436 o  Ralph Boehme <slow@samba.org>
437    * BUG 6133: vfs_zfsacl: Fix compilation error.
438    * BUG 13051: "smb encrypt" setting changes are not fully applied until full
439      smbd restart.
440    * BUG 13052: winbindd: Fix idmap_rid dependency on trusted domain list.
441    * BUG 13155: vfs_fruit: Proper VFS-stackable conversion of FinderInfo.
442    * BUG 13173: winbindd: Dependency on trusted-domain list in winbindd in
443      critical auth codepath.
445 o  Andrej Gessel <Andrej.Gessel@janztec.com>
446    * BUG 13120: repl_meta_data: Fix removing of backlink on deleted objects.
448 o  Amitay Isaacs <amitay@gmail.com>
449    "* BUG 13153: ctdb: sock_daemon leaks memory.
450    * BUG 13154: TCP tickles not getting synchronised on CTDB restart.
452 o  Volker Lendecke <vl@samba.org>
453    * BUG 13150: winbindd: winbind parent and child share a ctdb connection.
454    * BUG 13170: pthreadpool: Fix deadlock.
455    * BUG 13179: pthreadpool: Fix starvation after fork.
456    * BUG 13180: messaging: Always register the unique id.
458 o  Gary Lockyer <gary@catalyst.net.nz>
459    * 13129: s4/smbd: set the process group.
461 o  Stefan Metzmacher <metze@samba.org>
462    * BUG 13095: Fix broken linked attribute handling.
463    * BUG 13132: The KDC on an RWDC doesn't send error replies in some
464      situations.
465    * BUG 13149: libnet_join: Fix 'net rpc oldjoin'.
466    * BUG 13195: g_lock conflict detection broken when processing stale entries.
467    * BUG 13197: s3:smb2_server: allow logoff, close, unlock, cancel and echo
468      on expired sessions.
470 o  Noel Power <noel.power@suse.com>
471    * BUG 13166: s3:libads: net ads keytab list fails with "Key table name
472      malformed".
474 o  Christof Schmitt <cs@samba.org>
475    * BUG 13170: Fix crash in pthreadpool thread after failure from pthread_create.
477 o  Andreas Schneider <asn@samba.org>
478    * BUG 13129: s4:samba: Allow samba daemon to run in foreground.
479    * BUG 13174: third_party: Link the aesni-intel library with "-z noexecstack".
481 o  Niels de Vos <ndevos@redhat.com>
482    * BUG 13125: vfs_glusterfs: include glusterfs/api/glfs.h without relying on
483      "-I" options.
486 #######################################
487 Reporting bugs & Development Discussion
488 #######################################
490 Please discuss this release on the samba-technical mailing list or by
491 joining the #samba-technical IRC channel on irc.freenode.net.
493 If you do report problems then please try to send high quality
494 feedback. If you don't provide vital information to help us track down
495 the problem then you will probably be ignored.  All bug reports should
496 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
497 database (https://bugzilla.samba.org/).
500 ======================================================================
501 == Our Code, Our Bugs, Our Responsibility.
502 == The Samba Team
503 ======================================================================
506 ----------------------------------------------------------------------
509                    =============================
510                    Release Notes for Samba 4.7.3
511                          November 21, 2017
512                    =============================
515 This is a security release in order to address the following defects:
517 o  CVE-2017-14746 (Use-after-free vulnerability.)
518 o  CVE-2017-15275 (Server heap memory information leak.)
521 =======
522 Details
523 =======
525 o  CVE-2017-14746:
526    All versions of Samba from 4.0.0 onwards are vulnerable to a use after
527    free vulnerability, where a malicious SMB1 request can be used to
528    control the contents of heap memory via a deallocated heap pointer. It
529    is possible this may be used to compromise the SMB server.
531 o  CVE-2017-15275:
532    All versions of Samba from 3.6.0 onwards are vulnerable to a heap
533    memory information leak, where server allocated heap memory may be
534    returned to the client without being cleared.
536    There is no known vulnerability associated with this error, but
537    uncleared heap memory may contain previously used data that may help
538    an attacker compromise the server via other methods. Uncleared heap
539    memory may potentially contain password hashes or other high-value
540    data.
542 For more details and workarounds, please see the security advisories:
544    o https://www.samba.org/samba/security/CVE-2017-14746.html
545    o https://www.samba.org/samba/security/CVE-2017-15275.html
548 Changes since 4.7.2:
549 --------------------
551 o  Jeremy Allison <jra@samba.org>
552    * BUG 13041: CVE-2017-14746: s3: smbd: Fix SMB1 use-after-free crash bug.
553    * BUG 13077: CVE-2017-15275: s3: smbd: Chain code can return uninitialized
554      memory when talloc buffer is grown.
557 #######################################
558 Reporting bugs & Development Discussion
559 #######################################
561 Please discuss this release on the samba-technical mailing list or by
562 joining the #samba-technical IRC channel on irc.freenode.net.
564 If you do report problems then please try to send high quality
565 feedback. If you don't provide vital information to help us track down
566 the problem then you will probably be ignored.  All bug reports should
567 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
568 database (https://bugzilla.samba.org/).
571 ======================================================================
572 == Our Code, Our Bugs, Our Responsibility.
573 == The Samba Team
574 ======================================================================
577 ----------------------------------------------------------------------
580                    =============================
581                    Release Notes for Samba 4.7.2
582                          November 15, 2017
583                    =============================
586 This is an additional bugfix release to address a possible data corruption
587 issue. Please update immediately! For details, please see
589   https://bugzilla.samba.org/show_bug.cgi?id=13130
591 Samba 4.6.0 and newer is affected by this issue.
594 Changes since 4.7.1:
595 --------------------
597 o  Jeremy Allison <jra@samba.org>
598    * BUG 13121: Non-smbd processes using kernel oplocks can hang smbd.
600 o  Joe Guo <joeg@catalyst.net.nz>
601    * BUG 13127: python: use communicate to fix Popen deadlock.
603 o  Volker Lendecke <vl@samba.org>
604    * BUG 13130: smbd on disk file corruption bug under heavy threaded load.
606 o  Stefan Metzmacher <metze@samba.org>
607    * BUG 13130: tevent: version 0.9.34.
609 o  Ralph Wuerthner <ralph.wuerthner@de.ibm.com>
610    * BUG 13118: s3: smbd: Fix delete-on-close after smb2_find.
613 #######################################
614 Reporting bugs & Development Discussion
615 #######################################
617 Please discuss this release on the samba-technical mailing list or by
618 joining the #samba-technical IRC channel on irc.freenode.net.
620 If you do report problems then please try to send high quality
621 feedback. If you don't provide vital information to help us track down
622 the problem then you will probably be ignored.  All bug reports should
623 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
624 database (https://bugzilla.samba.org/).
627 ======================================================================
628 == Our Code, Our Bugs, Our Responsibility.
629 == The Samba Team
630 ======================================================================
633 ----------------------------------------------------------------------
636                    =============================
637                    Release Notes for Samba 4.7.1
638                          November 02, 2017
639                    =============================
642 This is the latest stable release of the Samba 4.7 release series.
645 Changes since 4.7.0:
646 --------------------
648 o  Michael Adam <obnox@samba.org>
649    * BUG 13091: vfs_glusterfs: Fix exporting subdirs with shadow_copy2.
651 o  Jeremy Allison <jra@samba.org>
652    * BUG 13027: s3: smbd: Currently if getwd() fails after a chdir(), we panic.
653    * BUG 13068: s3: VFS: Ensure default SMB_VFS_GETWD() call can't return a
654      partially completed struct smb_filename.
655    * BUG 13069: sys_getwd() can leak memory or possibly return the wrong errno
656      on older systems.
657    * BUG 13093: 'smbclient' doesn't correctly canonicalize all local names
658      before use.
660 o  Douglas Bagnall <douglas.bagnall@catalyst.net.nz>
661    * BUG 13095: Fix broken linked attribute handling.
663 o  Andrew Bartlett <abartlet@samba.org>
664    * BUG 12994: Missing LDAP query escapes in DNS rpc server.
665    * BUG 13087: replace: Link to -lbsd when building replace.c by hand.
667 o  Ralph Boehme <slow@samba.org>
668    * BUG 6133: Cannot delete non-ACL files on Solaris/ZFS/NFSv4 ACL filesystem.
669    * BUG 7909: Map SYNCHRONIZE acl permission statically in zfs_acl vfs module.
670    * BUG 7933: Samba fails to honor SEC_STD_WRITE_OWNER bit with the
671      acl_xattr module.
672    * BUG 12991: s3/mdssvc: Missing assignment in sl_pack_float.
673    * BUG 12995: Wrong Samba access checks when changing DOS attributes.
674    * BUG 13062: samba_runcmd_send() leaves zombie processes on timeout
675    * BUG 13065: net: groupmap cleanup should not delete BUILTIN mappings.
676    * BUG 13076: Enabling vfs_fruit results in loss of Finder tags and other
677      xattrs.
679 o  Alexander Bokovoy <ab@samba.org>
680    * BUG 9613: man pages: Properly ident lists.
681    * BUG 13081: smb.conf.5: Sort parameters alphabetically.
683 o  Samuel Cabrero <scabrero@suse.de>
684    * BUG 12993: s3: spoolss: Fix GUID string format on GetPrinter info.
686 o  Amitay Isaacs <amitay@gmail.com>
687    * BUG 13042: Remote serverid check doesn't check for the unique id.
688    * BUG 13056: CTDB starts consuming memory if there are dead nodes in the
689      cluster.
690    * BUG 13070: ctdb-common: Ignore event scripts with multiple '.'s.
692 o  Lutz Justen <ljusten@google.com>
693    * BUG 13046: libgpo doesn't sort the GPOs in the correct order.
695 o  Volker Lendecke <vl@samba.org>
696    * BUG 13042: Remote serverid check doesn't check for the unique id.
697    * BUG 13090: vfs_catia: Fix a potential memleak.
698    * BUG 12903: Fix file change notification for renames.
700 o  Gary Lockyer <gary@catalyst.net.nz>
701    * BUG 12952: Samba DNS server does not honour wildcards.
703 o  Stefan Metzmacher <metze@samba.org>
704    * BUG 13079:  Can't change password in samba from a Windows client if Samba
705      runs on IPv6 only interface.
707 o  Anoop C S <anoopcs@redhat.com>
708    * BUG 13086: vfs_fruit: Replace closedir() by SMB_VFS_CLOSEDIR.
710 o  Christof Schmitt <cs@samba.org>
711    * BUG 13047: Apple client can't cope with SMB2 async replies when creating
712      symlinks.
714 o  Andreas Schneider <asn@samba.org>
715    * BUG 12959: s4:rpc_server:backupkey: Move variable into scope.
716    * BUG 13099: s4:scripting: Fix ntstatus_gen.h generation on 32bit.
717    * BUG 13100: s3:vfs_glusterfs: Fix a double free in vfs_gluster_getwd().
718    * BUG 13101: Fix resouce leaks and pointer issues.
720 o  Jorge Schrauwen
721    * BUG 13049: vfs_solarisacl: Fix build for samba 4.7 and up.
724 #######################################
725 Reporting bugs & Development Discussion
726 #######################################
728 Please discuss this release on the samba-technical mailing list or by
729 joining the #samba-technical IRC channel on irc.freenode.net.
731 If you do report problems then please try to send high quality
732 feedback. If you don't provide vital information to help us track down
733 the problem then you will probably be ignored.  All bug reports should
734 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
735 database (https://bugzilla.samba.org/).
738 ======================================================================
739 == Our Code, Our Bugs, Our Responsibility.
740 == The Samba Team
741 ======================================================================
744 ----------------------------------------------------------------------
747                    =============================
748                    Release Notes for Samba 4.7.0
749                         September 20, 2017
750                    =============================
753 This is the first stable release of Samba 4.7.
754 Please read the release notes carefully before upgrading.
756 UPGRADING
757 =========
759 'smbclient' changes
760 ------------------
762 'smbclient' no longer prints a 'Domain=[...] OS=[Windows 6.1] Server=[...]'
763 banner when connecting to the first server. With SMB2 and Kerberos,
764 there's no way to print this information reliably. Now we avoid it at all
765 consistently. In interactive sessions the following banner is now presented
766 to the user: 'Try "help" do get a list of possible commands.'.
768 The default for "client max protocol" has changed to "SMB3_11",
769 which means that 'smbclient' (and related commands) will work against
770 servers without SMB1 support.
772 It's possible to use the '-m/--max-protocol' option to overwrite
773 the "client max protocol" option temporarily.
775 Note that the '-e/--encrypt' option also works with most SMB3 servers
776 (e.g. Windows >= 2012 and Samba >= 4.0.0), so the SMB1 unix extensions
777 are not required for encryption.
779 The change to SMB3_11 as default also means 'smbclient' no longer
780 negotiates SMB1 unix extensions by default, when talking to a Samba server with
781 "unix extensions = yes".  As a result, some commands are not available, e.g.
782 'posix_encrypt', 'posix_open', 'posix_mkdir', 'posix_rmdir', 'posix_unlink',
783 'posix_whoami', 'getfacl' and 'symlink'. Using "-mNT1" reenables them, if the
784 server supports SMB1.
786 Note the default ("CORE") for "client min protocol" hasn't changed,
787 so it's still possible to connect to SMB1-only servers by default.
789 'smbclient' learned a new command 'deltree' that is able to do
790 a recursive deletion of a directory tree.
793 NEW FEATURES/CHANGES
794 ====================
796 Whole DB read locks: Improved LDAP and replication consistency
797 --------------------------------------------------------------
799 Prior to Samba 4.7 and ldb 1.2.0, the LDB database layer used by Samba
800 erroneously did not take whole-DB read locks to protect search
801 and DRS replication operations.
803 While each object returned remained subject to a record-level lock (so
804 would remain consistent to itself), under a race condition with a
805 rename or delete, it and any links (like the member attribute) to it
806 would not be returned.
808 The symptoms of this issue include:
810 Replication failures with this error showing in the client side logs:
811  error during DRS repl ADD: No objectClass found in replPropertyMetaData for
812  Failed to commit objects:
813  WERR_GEN_FAILURE/NT_STATUS_INVALID_NETWORK_RESPONSE
815 A crash of the server, in particular the rpc_server process with
816  INTERNAL ERROR: Signal 11
818 LDAP read inconsistency
819  A DN subject to a search at the same time as it is being renamed
820  may not appear under either the old or new name, but will re-appear
821  for a subsequent search.
823 See https://bugzilla.samba.org/show_bug.cgi?id=12858 for more details
824 and updated advise on database recovery for affected installations.
826 Samba AD with MIT Kerberos
827 --------------------------
829 After four years of development, Samba finally supports compiling and
830 running Samba AD with MIT Kerberos. You can enable it with:
832     ./configure --with-system-mitkrb5
834 Samba requires version 1.15.1 of MIT Kerberos to build with AD DC support.
835 The krb5-devel and krb5-server packages are required.
836 The feature set is not on par with the Heimdal build but the most important
837 things, like forest and external trusts, are working. Samba uses the KDC binary
838 provided by MIT Kerberos.
840 Missing features, compared to Heimdal, are:
841   * PKINIT support
842   * S4U2SELF/S4U2PROXY support
843   * RODC support (not fully working with Heimdal either)
845 The Samba AD process will take care of starting the MIT KDC and it will load a
846 KDB (Kerberos Database) driver to access the Samba AD database.  When
847 provisioning an AD DC using 'samba-tool' it will take care of creating a correct
848 kdc.conf file for the MIT KDC.
850 For further details, see:
851 https://wiki.samba.org/index.php/Running_a_Samba_AD_DC_with_MIT_Kerberos_KDC
853 Dynamic RPC port range
854 ----------------------
856 The dynamic port range for RPC services has been changed from the old default
857 value "1024-1300" to "49152-65535". This port range is not only used by a
858 Samba AD DC, but also applies to all other server roles including NT4-style
859 domain controllers. The new value has been defined by Microsoft in Windows
860 Server 2008 and newer versions. To make it easier for Administrators to control
861 those port ranges we use the same default and make it configurable with the
862 option: "rpc server dynamic port range".
864 The "rpc server port" option sets the first available port from the new
865 "rpc server dynamic port range" option. The option "rpc server port" only
866 applies to Samba provisioned as an AD DC.
868 Authentication and Authorization audit support
869 ----------------------------------------------
871 Detailed authentication and authorization audit information is now
872 logged to Samba's debug logs under the "auth_audit" debug class,
873 including in particular the client IP address triggering the audit
874 line.  Additionally, if Samba is compiled against the jansson JSON
875 library, a JSON representation is logged under the "auth_json_audit"
876 debug class.
878 Audit support is comprehensive for all authentication and
879 authorisation of user accounts in the Samba Active Directory Domain
880 Controller, as well as the implicit authentication in password
881 changes.  In the file server and classic/NT4 domain controller, NTLM
882 authentication, SMB and RPC authorization is covered, however password
883 changes are not at this stage, and this support is not currently
884 backed by a testsuite.
886 For further details, see:
887 https://wiki.samba.org/index.php/Setting_up_Audit_Logging
889 Multi-process LDAP Server
890 -------------------------
892 The LDAP server in the AD DC now honours the process model used for
893 the rest of the 'samba' process, rather than being forced into a single
894 process.  This aids in Samba's ability to scale to larger numbers of AD
895 clients and the AD DC's overall resiliency, but will mean that there is a
896 fork()ed child for every LDAP client, which may be more resource
897 intensive in some situations.  If you run Samba in a
898 resource-constrained VM, consider allocating more RAM and swap space.
900 Improved Read-Only Domain Controller (RODC) Support
901 ---------------------------------------------------
903 Support for RODCs in Samba AD until now has been experimental. With this latest
904 version, many of the critical bugs have been fixed and the RODC can be used in
905 DC environments requiring no writable behaviour. RODCs now correctly support
906 bad password lockouts and password disclosure auditing through the
907 msDS-RevealedUsers attribute.
909 The fixes made to the RWDC will also allow Windows RODC to function more
910 correctly and to avoid strange data omissions such as failures to replicate
911 groups or updated passwords. Password changes are currently rejected at the
912 RODC, although referrals should be given over LDAP. While any bad passwords can
913 trigger domain-wide lockout, good passwords which have not been replicated yet
914 for a password change can only be used via NTLM on the RODC (and not Kerberos).
916 The reliability of RODCs locating a writable partner still requires some
917 improvements and so the 'password server' configuration option is generally
918 recommended on the RODC.
920 Samba 4.7 is the first Samba release to be secure as an RODC or when
921 hosting an RODC.  If you have been using earlier Samba versions to
922 host or be an RODC, please upgrade.
924 In particular see https://bugzilla.samba.org/show_bug.cgi?id=12977 for
925 details on the security implications for password disclosure to an
926 RODC using earlier versions.
928 Additional password hashes stored in supplementalCredentials
929 ------------------------------------------------------------
931 A new config option 'password hash userPassword schemes' has been added to
932 enable generation of SHA-256 and SHA-512 hashes (without storing the plaintext
933 password with reversible encryption). This builds upon previous work to improve
934 password sync for the AD DC (originally using GPG).
936 The user command of 'samba-tool' has been updated in order to be able to
937 extract these additional hashes, as well as extracting the (HTTP) WDigest
938 hashes that we had also been storing in supplementalCredentials.
940 Improvements to DNS during Active Directory domain join
941 -------------------------------------------------------
943 The 'samba-tool' domain join command will now add the A and GUID DNS records
944 (on both the local and remote servers) during a join if possible via RPC. This
945 should allow replication to proceed more smoothly post-join.
947 The mname element of the SOA record will now also be dynamically generated to
948 point to the local read-write server. 'samba_dnsupdate' should now be more
949 reliable as it will now find the appropriate name server even when resolv.conf
950 points to a forwarder.
952 Significant AD performance and replication improvements
953 -------------------------------------------------------
955 Previously, replication of group memberships was been an incredibly expensive
956 process for the AD DC. This was mostly due to unnecessary CPU time being spent
957 parsing member linked attributes. The database now stores these linked
958 attributes in sorted form to perform efficient searches for existing members.
959 In domains with a large number of group memberships, a join can now be
960 completed in half the time compared with Samba 4.6.
962 LDAP search performance has also improved, particularly in the unindexed search
963 case. Parsing and processing of security descriptors should now be more
964 efficient, improving replication but also overall performance.
966 Query record for open file or directory
967 ---------------------------------------
969 The record attached to an open file or directory in Samba can be
970 queried through the 'net tdb locking' command. In clustered Samba this
971 can be useful to determine the file or directory triggering
972 corresponding "hot" record warnings in ctdb.
974 Removal of lpcfg_register_defaults_hook()
975 -----------------------------------------
977 The undocumented and unsupported function lpcfg_register_defaults_hook()
978 that was used by external projects to call into Samba and modify
979 smb.conf default parameter settings has been removed. If your project
980 was using this call please raise the issue on
981 samba-technical@lists.samba.org in order to design a supported
982 way of obtaining the same functionality.
984 Change of loadable module interface
985 -----------------------------------
987 The _init function of all loadable modules in Samba has changed
988 from:
990 NTSTATUS _init(void);
994 NTSTATUS _init(TALLOC_CTX *);
996 This allows a program loading a module to pass in a long-lived
997 talloc context (which must be guaranteed to be alive for the
998 lifetime of the module). This allows modules to avoid use of
999 the talloc_autofree_context() (which is inherently thread-unsafe)
1000 and still be valgrind-clean on exit. Modules that don't need to
1001 free long-lived data on exit should use the NULL talloc context.
1003 SHA256 LDAPS Certificates
1004 -------------------------
1006 The self-signed certificate generated for use on LDAPS will now be
1007 generated with a SHA256 self-signature, not a SHA1 self-signature.
1009 Replacing this certificate with a certificate signed by a trusted
1010 CA is still highly recommended.
1012 CTDB changes
1013 ------------
1015 * CTDB no longer allows mixed minor versions in a cluster
1017   See the AllowMixedVersions tunable option in ctdb-tunables(7) and also
1018   https://wiki.samba.org/index.php/Upgrading_a_CTDB_cluster#Policy
1020 * CTDB now ignores hints from Samba about TDB flags when attaching to databases
1022   CTDB will use the correct flags depending on the type of database.
1023   For clustered databases, the smb.conf setting
1024   dbwrap_tdb_mutexes:*=true will be ignored. Instead, CTDB continues
1025   to use the TDBMutexEnabled tunable.
1027 * New configuration variable CTDB_NFS_CHECKS_DIR
1029   See ctdbd.conf(5) for more details.
1031 * The CTDB_SERVICE_AUTOSTARTSTOP configuration variable has been
1032   removed
1034   To continue to manage/unmanage services while CTDB is running:
1036   - Start service by hand and then flag it as managed
1038   - Mark service as unmanaged and shut it down by hand
1040   - In some cases CTDB does something fancy - e.g. start Samba under
1041     "nice", so care is needed. One technique is to disable the
1042     eventscript, mark as managed, run the startup event by hand and then
1043     re-enable the eventscript.
1045 * The CTDB_SCRIPT_DEBUGLEVEL configuration variable has been removed
1047 * The example NFS Ganesha call-out has been improved
1049 * A new "replicated" database type is available
1051   Replicated databases are intended for CTDB's internal use to
1052   replicate state data across the cluster, but may find other
1053   uses. The data in replicated databases is valid for the lifetime of
1054   CTDB and cleared on first attach.
1056 Using x86_64 Accelerated AES Crypto Instructions
1057 ------------------------------------------------
1059 Samba on x86_64 can now be configured to use the Intel accelerated AES
1060 instruction set, which has the potential to make SMB3 signing and
1061 encryption much faster on client and server. To enable this, configure
1062 Samba using the new option --accel-aes=intelaesni.
1064 This is a temporary solution that is being included to allow users
1065 to enjoy the benefits of Intel accelerated AES on the x86_64 platform,
1066 but the longer-term solution will be to move Samba to a fully supported
1067 external crypto library.
1069 The third_party/aesni-intel code will be removed from Samba as soon as
1070 external crypto library performance reaches parity.
1072 The default is to build without setting --accel-aes, which uses the
1073 existing Samba software AES implementation.
1075 Parameter changes
1076 -----------------
1078 The "strict sync" global parameter has been changed from
1079 a default of "no" to "yes". This means smbd will by default
1080 obey client requests to synchronize unwritten data in operating
1081 system buffers safely onto disk. This is a safer default setting
1082 for modern SMB1/2/3 clients.
1084 The 'ntlm auth' option default is renamed to 'ntlmv2-only', reflecting
1085 the previous behaviour.  Two new values have been provided,
1086 'mschapv2-and-ntlmv2-only' (allowing MSCHAPv2 while denying NTLMv1)
1087 and 'disabled', totally disabling NTLM authentication and password
1088 changes.
1090 smb.conf changes
1091 ================
1093   Parameter Name                     Description             Default
1094   --------------                     -----------             -------
1095   allow unsafe cluster upgrade       New parameter           no
1096   auth event notification            New parameter           no
1097   auth methods                       Deprecated
1098   client max protocol                Effective               SMB3_11
1099                                      default changed
1100   map untrusted to domain            New value/              auto
1101                                      Default changed/
1102                                      Deprecated
1103   mit kdc command                    New parameter
1104   profile acls                       Deprecated
1105   rpc server dynamic port range      New parameter           49152-65535
1106   strict sync                        Default changed         yes
1107   password hash userPassword schemes New parameter
1108   ntlm auth                          New values              ntlmv2-only
1111 KNOWN ISSUES
1112 ============
1114 https://wiki.samba.org/inFdex.php/Release_Planning_for_Samba_4.7#Release_blocking_bugs
1117 CHANGES SINCE 4.7.0rc6
1118 ======================
1120 o  CVE-2017-12150:
1121    A man in the middle attack may hijack client connections.
1123 o  CVE-2017-12151:
1124    A man in the middle attack can read and may alter confidential
1125    documents transferred via a client connection, which are reached
1126    via DFS redirect when the original connection used SMB3.
1128 o  CVE-2017-12163:
1129    Client with write access to a share can cause server memory contents to be
1130    written into a file or printer.
1133 CHANGES SINCE 4.7.0rc5
1134 ======================
1136 o  Jeremy Allison <jra@samba.org>
1137    * BUG 13003: s3: vfs: catia: compression get/set must act only on base file, and
1138      must cope with fsp==NULL.
1139    * BUG 13008: lib: crypto: Make smbd use the Intel AES instruction set for signing
1140      and encryption.
1142 o  Andrew Bartlett <abartlet@samba.org>
1143    * BUG 12946: s4-drsuapi: Avoid segfault when replicating as a non-admin with
1144      GUID_DRS_GET_CHANGES.
1145    * BUG 13015: Allow re-index of newer databases with binary GUID TDB keys
1146      (this officially removes support for re-index of the original pack format 0,
1147      rather than simply segfaulting).
1148    * BUG 13017: Add ldb_ldif_message_redacted_string() to allow debug of redacted
1149      log messages, avoiding showing secret values.
1150    * BUG 13023: ldb: version 1.2.2.
1151    * BUG 13025: schema: Rework dsdb_schema_set_indices_and_attributes() db
1152      operations.
1154 o  Alexander Bokovoy <ab@samba.org>
1155    * BUG 13030: Install dcerpc/__init__.py for all Python environments.
1157 o  Ralph Boehme <slow@samba.org>
1158    * BUG 13024: s3/smbd: Sticky write time offset miscalculation causes broken
1159      timestamps
1160    * BUG 13037: lib/util: Only close the event_fd in tfork if the caller didn't
1161      call tfork_event_fd().
1163 o  Volker Lendecke <vl@samba.org>
1164    * BUG 13006: messaging: Avoid a socket leak after fork.
1166 o  Stefan Metzmacher <metze@samba.org>
1167    * BUG 13018: charset: Fix str[n]casecmp_m() by comparing lower case values.
1169 o  Gary Lockyer <gary@catalyst.net.nz>
1170    * BUG 13037: util_runcmd: Free the fde in event handler.
1172 o  Amitay Isaacs <amitay@gmail.com>
1173    * BUG 13012: ctdb-daemon: Fix implementation of process_exists control.
1174    * BUG 13021: GET_DB_SEQNUM control can cause ctdb to deadlock when databases
1175      are frozen.
1176    * BUG 13029: ctdb-daemon: Free up record data if a call request is deferred.
1177    * BUG 13036: ctdb-client: Initialize ctdb_ltdb_header completely for empty
1178      record.
1180 o  Christof Schmitt <cs@samba.org>
1181    * BUG 13032: vfs_streams_xattr: Fix segfault when running with log level 10.
1184 CHANGES SINCE 4.7.0rc4
1185 ======================
1187 o  Andrew Bartlett <abartlet@samba.org>
1188    * BUG 12929: smb.conf: Explain that "ntlm auth" is a per-passdb setting.
1189    * BUG 12953: s4/lib/tls: Use SHA256 to sign the TLS certificates.
1191 o  Jeremy Allison <jra@samba.org>
1192    * BUG 12932: Get rid of talloc_autofree_context().
1194 o  Amitay Isaacs <amitay@gmail.com>
1195    * BUG 12978: After restarting CTDB, it attaches replicated databases with
1196      wrong flags.
1198 o  Stefan Metzmacher <metze@samba.org>
1199    * BUG 12863: s3:smbclient: Don't try any workgroup listing with
1200      "client min protocol = SMB2".
1201    * BUG 12876: s3:libsmb: Don't call cli_NetServerEnum() on SMB2/3 connections
1202      in SMBC_opendir_ctx().
1203    * BUG 12881: s3:libsmb: Let do_connect() debug the negotiation result
1204      similar to "session request ok".
1205    * BUG 12919: s4:http/gensec: add missing tevent_req_done() to
1206      gensec_http_ntlm_update_done().
1207    * BUG 12968: Fix 'smbclient tarmode' with SMB2/3.
1208    * BUG 12973: 'smbd': Don't use a lot of CPU on startup of a connection.
1210 o  Christof Schmitt <cs@samba.org>
1211    * BUG 12983: vfs_default: Fix passing of errno from async calls.
1213 o  Andreas Schneider <asn@samba.org>
1214    * BUG 12629: s3:utils: Do not report an invalid range for AD DC role.
1215    * BUG 12704: s3:libsmb: Let get_ipc_connect() use
1216      CLI_FULL_CONNECTION_FORCE_SMB1.
1217    * BUG 12930: Fix build issues with GCC 7.1.
1218    * BUG 12950: s3:script: Untaint user supplied data in modprinter.pl.
1219    * BUG 12956: s3:libads: Fix changing passwords with Kerberos.
1220    * BUG 12975: Fix changing the password with 'smbpasswd' as a local user on
1221      a domain member.
1224 CHANGES SINCE 4.7.0rc3
1225 ======================
1227 o  Jeremy Allison <jra@samba.org>
1228    * BUG 12913: Implement cli_smb2_setatr() by calling cli_smb2_setpathinfo().
1230 o  Andrew Bartlett <abartlet@samba.org>
1231    * BUG 11392: s4-cldap/netlogon: Match Windows 2012R2 and return
1232      NETLOGON_NT_VERSION_5 when version unspecified.
1233    * BUG 12855: dsdb: Do not force a re-index of sam.ldb on upgrade to 4.7.
1234    * BUG 12904: dsdb: Fix dsdb_next_callback to correctly use ldb_module_done()
1235      etc.
1236    * BUG 12939: s4-rpc_server: Improve debug of new endpoints.
1238 o  Ralph Boehme <slow@samba.org>
1239    * BUG 12791: Fix kernel oplocks issues with named streams.
1240    * BUG 12944: vfs_gpfs: Handle EACCES when fetching DOS attributes from xattr.
1242 o  Bob Campbell <bobcampbell@catalyst.net.nz>
1243    * BUG 12842: samdb/cracknames: Support user and service principal as desired
1244      format.
1246 o  David Disseldorp <ddiss@samba.org>
1247    * BUG 12911: vfs_ceph: Fix cephwrap_chdir().
1249 o  Gary Lockyer <gary@catalyst.net.nz>
1250    * BUG 12865: Track machine account ServerAuthenticate3.
1252 o  Marc Muehlfeld <mmuehlfeld@samba.org>
1253    * BUG 12947: python: Fix incorrect kdc.conf parameter name in kerberos.py.
1255 o  Noel Power <noel.power@suse.com>
1256    * BUG 12937: s3/utils: 'smbcacls' failed to detect DIRECTORIES using SMB2
1257      (Windows only).
1259 o  Arvid Requate <requate@univention.de>
1260    * BUG 11392: s4-dsdb/netlogon: Allow missing ntver in cldap ping.
1262 o  Anoop C S <anoopcs@redhat.com>
1263    * BUG 12936: source3/client: Fix typo in help message displayed by default.
1265 o  Andreas Schneider <asn@samba.org>
1266    * BUG 12930: Fix building with GCC 7.1.1.
1269 CHANGES SINCE 4.7.0rc2
1270 ======================
1272 o  Jeremy Allison <jra@samba.org>
1273    * BUG 12836: s3: smbd: Fix a read after free if a chained SMB1 call goes
1274      async.
1275    * BUG 12899: s3: libsmb: Reverse sense of 'clear all attributes', ignore
1276      attribute change in SMB2 to match SMB1.
1277    * BUG 12914: s3: smbclient: Add new command deltree.
1279 o  Ralph Boehme <slow@samba.org>
1280    * BUG 12885: s3/smbd: Let non_widelink_open() chdir() to directories
1281      directly.
1282    * BUG 12887: Remove SMB_VFS_STRICT_UNLOCK noop from the VFS.
1283    * BUG 12891: Enable TDB mutexes in dbwrap and ctdb.
1284    * BUG 12897: vfs_fruit: don't use MS NFS ACEs with Windows clients.
1285    * BUG 12910: s3/notifyd: Ensure notifyd doesn't return from
1286      smbd_notifyd_init.
1288 o  Alexander Bokovoy <ab@samba.org>
1289    * BUG 12905: Build py3 versions of other rpc modules.
1291 o  Günther Deschner <gd@samba.org>
1292    * BUG 12840: vfs_fruit: Add "fruit:model = <modelname>" parametric option.
1294 o  Dustin L. Howett
1295    * BUG 12720: idmap_ad: Retry query_user exactly once if we get
1296      TLDAP_SERVER_DOWN.
1298 o  Amitay Isaacs <amitay@gmail.com>
1299    * BUG 12891: dbwrap_ctdb: Fix calculation of persistent flag.
1301 o  Thomas Jarosch <thomas.jarosch@intra2net.com>
1302    * BUG 12927: s3: libsmb: Fix use-after-free when accessing pointer *p.
1304 o  Volker Lendecke <vl@samba.org>
1305    * BUG 12925: smbd: Fix a connection run-down race condition.
1307 o  Stefan Metzmacher <metze@samba.org>
1308    * tevent: version 0.9.33: make tevent_req_print() more robust against crashes.
1309    * ldb: version 1.2.1
1310    * BUG 12882: Do not install _ldb_text.py if we have system libldb.
1311    * BUG 12890: s3:smbd: consistently use talloc_tos() memory for
1312      rpc_pipe_open_interface().
1313    * BUG 12900: Fix index out of bound in ldb_msg_find_common_values.
1315 o  Rowland Penny <rpenny@samba.org>
1316    * BUG 12884: Easily edit a users object in AD, as if using 'ldbedit'.
1318 o  Bernhard M. Wiedemann <bwiedemann@suse.de>
1319    * BUG 12906: s3: drop build_env
1321 o  Andreas Schneider <asn@samba.org>
1322    * BUG 12882: waf: Do not install _ldb_text.py if we have system libldb.
1324 o  Martin Schwenke <martin@meltin.net>
1325    * BUG 12898: ctdb-common: Set close-on-exec when creating PID file.
1328 CHANGES SINCE 4.7.0rc1
1329 ======================
1331 o  Jeffrey Altman <jaltman@secure-endpoints.com>
1332    * BUG 12894: CVE-2017-11103: Orpheus' Lyre KDC-REP service name validation
1335 #######################################
1336 Reporting bugs & Development Discussion
1337 #######################################
1339 Please discuss this release on the samba-technical mailing list or by
1340 joining the #samba-technical IRC channel on irc.freenode.net.
1342 If you do report problems then please try to send high quality
1343 feedback. If you don't provide vital information to help us track down
1344 the problem then you will probably be ignored.  All bug reports should
1345 be filed under the Samba 4.1 and newer product in the project's Bugzilla
1346 database (https://bugzilla.samba.org/).
1349 ======================================================================
1350 == Our Code, Our Bugs, Our Responsibility.
1351 == The Samba Team
1352 ======================================================================