netcmd: Fix passwordsettings --max-pwd-age command
[Samba.git] / WHATSNEW.txt
blob8472caa032cee91970c7f4fb26e542211e778086
1                    ==============================
2                    Release Notes for Samba 4.10.3
3                             May 14, 2019
4                    ==============================
7 This is a security release in order to address the following defect:
9 o  CVE-2018-16860 (Samba AD DC S4U2Self/S4U2Proxy unkeyed checksum)
12 =======
13 Details
14 =======
16 o  CVE-2018-16860:
17    The checksum validation in the S4U2Self handler in the embedded Heimdal KDC
18    did not first confirm that the checksum was keyed, allowing replacement of
19    the requested target (client) principal.
21 For more details and workarounds, please refer to the security advisory.
24 Changes since 4.10.2:
25 ---------------------
27 o  Isaac Boukris <iboukris@gmail.com> 
28    * BUG 13685: CVE-2018-16860: Heimdal KDC: Reject PA-S4U2Self with unkeyed
29      checksum.
32 #######################################
33 Reporting bugs & Development Discussion
34 #######################################
36 Please discuss this release on the samba-technical mailing list or by
37 joining the #samba-technical IRC channel on irc.freenode.net.
39 If you do report problems then please try to send high quality
40 feedback. If you don't provide vital information to help us track down
41 the problem then you will probably be ignored.  All bug reports should
42 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
43 database (https://bugzilla.samba.org/).
46 ======================================================================
47 == Our Code, Our Bugs, Our Responsibility.
48 == The Samba Team
49 ======================================================================
52 Release notes for older releases follow:
53 ----------------------------------------
55                    ==============================
56                    Release Notes for Samba 4.10.2
57                            April 8, 2019
58                    ==============================
61 This is a security release in order to address the following defects:
63 o  CVE-2019-3870 (World writable files in Samba AD DC private/ dir)
64 o  CVE-2019-3880 (Save registry file outside share as unprivileged user)
67 =======
68 Details
69 =======
71 o  CVE-2019-3870:
72    During the provision of a new Active Directory DC, some files in the private/
73    directory are created world-writable.
75 o  CVE-2019-3880:
76    Authenticated users with write permission can trigger a symlink traversal to
77    write or detect files outside the Samba share.
79 For more details and workarounds, please refer to the security advisories.
82 Changes since 4.10.1:
83 ---------------------
85 o  Andrew Bartlett <abartlet@samba.org>
86    * BUG 13834: CVE-2019-3870: pysmbd: Ensure a zero umask is set for
87      smbd.mkdir().
89 o  Jeremy Allison <jra@samba.org>
90    * BUG 13851: CVE-2018-14629: rpc: winreg: Remove implementations of
91      SaveKey/RestoreKey.
94 #######################################
95 Reporting bugs & Development Discussion
96 #######################################
98 Please discuss this release on the samba-technical mailing list or by
99 joining the #samba-technical IRC channel on irc.freenode.net.
101 If you do report problems then please try to send high quality
102 feedback. If you don't provide vital information to help us track down
103 the problem then you will probably be ignored.  All bug reports should
104 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
105 database (https://bugzilla.samba.org/).
108 ======================================================================
109 == Our Code, Our Bugs, Our Responsibility.
110 == The Samba Team
111 ======================================================================
114 ----------------------------------------------------------------------
117                    ==============================
118                    Release Notes for Samba 4.10.1
119                            April 3, 2019
120                    ==============================
123 This is the latest stable release of the Samba 4.10 release series.
126 Changes since 4.10.0:
127 ---------------------
129 o  Douglas Bagnall <douglas.bagnall@catalyst.net.nz>
130    * BUG 13837: py/kcc_utils: py2.6 compatibility.
132 o  Philipp Gesang <philipp.gesang@intra2net.com>
133    * BUG 13869: libcli: permit larger values of DataLength in
134      SMB2_ENCRYPTION_CAPABILITIES of negotiate response.
136 o  Michael Hanselmann <public@hansmi.ch>
137    * BUG 13840: regfio: Improve handling of malformed registry hive files.
139 o  Amitay Isaacs <amitay@samba.org>
140    * BUG 13789: ctdb-version: Simplify version string usage.
142 o  Volker Lendecke <vl@samba.org>
143    * BUG 13859: lib: Make fd_load work for non-regular files.
145 o  Stefan Metzmacher <metze@samba.org>
146    * BUG 13816: dbcheck in the middle of the tombstone garbage collection causes
147      replication failures, dbcheck: add --selftest-check-expired-tombstones
148      cmdline option.
149    * BUG 13818: ndr_spoolss_buf: Fix out of scope use of stack variable in
150      NDR_SPOOLSS_PUSH_ENUM_OUT().
152 o  Anoop C S <anoopcs@redhat.com>
153    * BUG 13854: s4/messaging: Fix undefined reference in linking
154      libMESSAGING-samba4.so.
156 o  Garming Sam <garming@catalyst.net.nz>
157    * BUG 13836: acl_read: Fix regression for empty lists.
159 o  Michael Saxl <mike@mwsys.mine.bz>
160    * BUG 13841: s4:dlz make b9_has_soa check dc=@ node.
162 o  Andreas Schneider <asn@samba.org>
163    * BUG 13832: s3:client: Fix printing via smbspool backend with kerberos auth.
164    * BUG 13847: s4:librpc: Fix installation of Samba.
165    * BUG 13848: s3:lib: Fix the debug message for adding cache entries.
166    * BUG 13793: s3:utils: Add 'smbstatus -L --resolve-uids' to show username.
167    * BUG 13848: s3:lib: Fix the debug message for adding cache entries.
168    * BUG 13853: s3:waf: Fix the detection of makdev() macro on Linux.
170 o  Martin Schwenke <martin@meltin.net>
171    * BUG 13789: ctdb-build: Drop creation of .distversion in tarball.
172    * BUG 13838: ctdb-packaging: Test package requires tcpdump, ctdb package
173      should not own system library directory.
176 #######################################
177 Reporting bugs & Development Discussion
178 #######################################
180 Please discuss this release on the samba-technical mailing list or by
181 joining the #samba-technical IRC channel on irc.freenode.net.
183 If you do report problems then please try to send high quality
184 feedback. If you don't provide vital information to help us track down
185 the problem then you will probably be ignored.  All bug reports should
186 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
187 database (https://bugzilla.samba.org/).
190 ======================================================================
191 == Our Code, Our Bugs, Our Responsibility.
192 == The Samba Team
193 ======================================================================
196 ----------------------------------------------------------------------
199                    ==============================
200                    Release Notes for Samba 4.10.0
201                            March 19, 2019
202                    ==============================
205 This is the first stable release of the Samba 4.10 release series.
206 Please read the release notes carefully before upgrading.
209 NEW FEATURES/CHANGES
210 ====================
212 GPO Improvements
213 ----------------
215 A new 'samba-tool gpo backup' command has been added that can export a
216 set of Group Policy Objects from a domain in a generalised XML format.
218 A corresponding 'samba-tool gpo restore' command has been added to
219 rebuild the Group Policy Objects from the XML after generalization.
220 (The administrator needs to correct the values of XML entities between
221 the backup and restore to account for the change in domain).
223 KDC prefork
224 -----------
226 The KDC now supports the pre-fork process model and worker processes will be
227 forked for the KDC when the pre-fork process model is selected for samba.
229 Prefork 'prefork children'
230 --------------------------
232 The default value for this smdb.conf parameter has been increased from 1 to
235 Netlogon prefork
236 ----------------
238 DCERPC now supports pre-forked NETLOGON processes. The netlogon processes are
239 pre-forked when the prefork process model is selected for samba.
241 Offline domain backups
242 ----------------------
244 The 'samba-tool domain backup' command has been extended with a new 'offline'
245 option. This safely creates a backup of the local DC's database directly from
246 disk. The main benefits of an offline backup are it's quicker, it stores more
247 database details (for forensic purposes), and the samba process does not have
248 to be running when the backup is made. Refer to the samba-tool help for more
249 details on using this command.
251 Group membership statistics
252 ---------------------------
254 A new 'samba-tool group stats' command has been added. This provides summary
255 information about how the users are spread across groups in your domain.
256 The 'samba-tool group list --verbose' command has also been updated to include
257 the number of users in each group.
259 Paged results LDAP control
260 --------------------------
262 The behaviour of the paged results control (1.2.840.113556.1.4.319, RFC2696)
263 has been changed to more closely match Windows servers, to improve memory
264 usage. Paged results may be used internally (or is requested by the user) by
265 LDAP libraries or tools that deal with large result sizes, for example, when
266 listing all the objects in the database.
268 Previously, results were returned as a snapshot of the database but now,
269 some changes made to the set of results while paging may be reflected in the
270 responses. If strict inter-record consistency is required in answers (which is
271 not possible on Windows with large result sets), consider avoiding the paged
272 results control or alternatively, it might be possible to enforce restrictions
273 using the LDAP filter expression.
275 For further details see https://wiki.samba.org/index.php/Paged_Results
277 Prefork process restart
278 -----------------------
280 The pre-fork process model now restarts failed processes. The delay between
281 restart attempts is controlled by the "prefork backoff increment" (default = 10)
282 and "prefork maximum backoff" (default = 120) smbd.conf parameters.  A linear
283 back off strategy is used with "prefork backoff increment" added to the
284 delay between restart attempts up until it reaches "prefork maximum backoff".
286 Using the default sequence the restart delays (in seconds) are:
287   0, 10, 20, ..., 120, 120, ...
289 Standard process model
290 ----------------------
292 When using the standard process model samba forks a new process to handle ldap
293 and netlogon connections.  Samba now honours the 'max smbd processes' smb.conf
294 parameter.  The default value of 0, indicates there is no limit.  The limit
295 is applied individually to netlogon and ldap.  When the process limit is
296 exceeded Samba drops new connections immediately.
298 python3 support
299 ---------------
301 This is the first release of Samba which has full support for Python 3.
302 Samba 4.10 still has support for Python 2, however, Python 3 will be used by
303 default, i.e. 'configure' & 'make' will execute using python3.
305 To build Samba with python2 you *must* set the 'PYTHON' environment variable
306 for both the 'configure' and 'make' steps, i.e.
307    'PYTHON=python2 ./configure'
308    'PYTHON=python2 make'
309 This will override the python3 default.
311 Alternatively, it is possible to produce Samba Python bindings for both
312 Python 2 and Python 3. To do so, specify '--extra-python=/usr/bin/python2'
313 as part of the 'configure' command. Note that python3 will still be used as
314 the default in this case.
316 Note that Samba 4.10 supports Python 3.4 onwards.
318 Future Python support
319 ---------------------
321 Samba 4.10 will be the last release that comes with full support for
322 Python 2. Unfortunately, the Samba Team doesn't have the resources to support
323 both Python 2 and Python 3 long-term.
325 Samba 4.11 will not have any runtime support for Python 2. This means if
326 you use Python 2 bindings it is time to migrate to Python 3 now.
328 If you are building Samba using the '--disable-python' option (i.e. you're
329 excluding all the run-time Python support), then this will continue to work
330 on a system that supports either python2 or python3.
332 Also note that Samba 4.11 will most likely only support Python 3.6 onwards.
334 JSON logging
335 ------------
337 Authentication messages now contain the Windows Event Id "eventId" and logon
338 type "logonType". The supported event codes and logon types are:
339   Event codes:
340     4624  Successful logon
341     4625  Unsuccessful logon
343   Logon Types:
344     2  Interactive
345     3  Network
346     8  NetworkCleartext
348 The version number for Authentication messages is now 1.1, changed from 1.0
350 Password change messages now contain the Windows Event Id "eventId", the
351 supported event Id's are:
352   4723 Password changed
353   4724 Password reset
355 The version number for PasswordChange messages is now 1.1, changed from 1.0
357 Group membership change messages now contain the Windows Event Id "eventId",
358 the supported event Id's are:
359   4728 A member was added to a security enabled global group
360   4729 A member was removed from a security enabled global group
361   4732 A member was added to a security enabled local group
362   4733 A member was removed from a security enabled local group
363   4746 A member was added to a security disabled local group
364   4747 A member was removed from a security disabled local group
365   4751 A member was added to a security disabled global group
366   4752 A member was removed from a security disabled global group
367   4756 A member was added to a security enabled universal group
368   4757 A member was removed from a security enabled universal group
369   4761 A member was added to a security disabled universal group
370   4762 A member was removed from a security disabled universal group
373 The version number for GroupChange messages is now 1.1, changed from 1.0. Also
374 A GroupChange message is generated when a new user is created to log that the
375 user has been added to their primary group.
377 The leading "JSON <message type>:" and source file  prefix of the JSON formatted
378 log entries has been removed to make the parsing of the JSON log messages
379 easier. JSON log entries now start with 2 spaces followed by an opening brace
380 i.e. "  {"
382 SMBv2 samba-tool support
383 ------------------------
385 On previous releases, some samba-tool commands would not work against a remote
386 DC that had SMBv1 disabled. SMBv2 support has now been added for samba-tool.
387 The affected commands are 'samba-tool domain backup|rename' and the
388 'samba-tool gpo' set of commands. Refer also bug #13676.
390 New glusterfs_fuse VFS module
391 -----------------------------
393 The new vfs_glusterfs_fuse module improves performance when Samba
394 accesses a glusterfs volume mounted via FUSE (Filesystem in Userspace
395 as part of the Linux kernel). It achieves that by leveraging a
396 mechanism to retrieve the appropriate case of filenames by querying a
397 specific extended attribute in the filesystem. No extra configuration
398 is required to use this module, only glusterfs_fuse needs to be set in
399 the "vfs objects" parameter. Further details can be found in the
400 vfs_glusterfs_fuse(8) manpage. This new vfs_glusterfs_fuse module does
401 not replace the existing vfs_glusterfs module, it just provides an
402 additional, alternative mechanism to access a Gluster volume.
404 REMOVED FEATURES
405 ================
407 MIT Kerberos build of the AD DC
408 -------------------------------
410 While not removed, the MIT Kerberos build of the Samba AD DC is still
411 considered experimental.  Because Samba will not issue security
412 patches for this configuration, such builds now require the explicit
413 configure option: --with-experimental-mit-ad-dc
415 For further details see
416 https://wiki.samba.org/index.php/Running_a_Samba_AD_DC_with_MIT_Kerberos_KDC
418 samba_backup
419 ------------
421 The samba_backup script has been removed. This has now been replaced by the
422 'samba-tool domain backup offline' command.
424 SMB client Python bindings
425 --------------------------
427 The SMB client python bindings are now deprecated and will be removed in future
428 Samba releases. This will only affects users that may have used the Samba
429 Python bindings to write their own utilities, i.e. users with a custom Python
430 script that includes the line 'from samba import smb'.
432 smb.conf changes
433 ================
435   Parameter Name                     Description                Default
436   --------------                     -----------                -------
437   prefork backoff increment   Delay added to process restart    10 (seconds)
438                               between attempts.
439   prefork maximum backoff     Maximum delay for process between 120 (seconds)
440                               process restart attempts
441   smbd search ask sharemode   Name changed, old name was
442                               "smbd:search ask sharemode"
443   smbd async dosmode          Name changed, old name was
444                               "smbd:async dosmode"
445   smbd max async dosmode      Name changed, old name was
446                               "smbd:max async dosmode"
447   smbd getinfo ask sharemode  New: similar to "smbd search ask yes
448                               sharemode" but for SMB getinfo
451 CHANGES SINCE 4.10.0rc4
452 =======================
454 o  Andrew Bartlett <abartlet@samba.org>
455    * BUG 13760: s4-server: Open and close a transaction on sam.ldb at startup.
457 o  Ralph Boehme <slow@samba.org>
458    * BUG 13812: access_check_max_allowed() doesn't process "Owner Rights" ACEs.
460 o  Joe Guo <joeg@catalyst.net.nz>
461    * s4/scripting/bin: Open unicode files with utf8 encoding and write
462    * unicode string.
464 o  Björn Jacke <bj@sernet.de>
465    * BUG 13759: sambaundoguididx: Use the right escaped oder unescaped sam ldb
466      files.
468 o  Volker Lendecke <vl@samba.org>
469    * BUG 13813: Fix idmap cache pollution with S-1-22- IDs on winbind hickup.
471 o  Christof Schmitt <cs@samba.org>
472    * passdb: Update ABI to 0.27.2.
473    * BUG 13813: lib/winbind_util: Add winbind_xid_to_sid for --without-winbind.
475 o  Andreas Schneider <asn@samba.org>
476    * BUG 13823: lib:util: Move debug message for mkdir failing to log level 1.
479 CHANGES SINCE 4.10.0rc3
480 =======================
482 o  Jeremy Allison <jra@samba.org>
483    * BUG 13803: SMB1 POSIX mkdir does case insensitive name lookup.
485 o  Ralph Boehme <slow@samba.org>
486    * BUG 13802: Fix idmap xid2sid cache issue.
488 o  David Disseldorp <ddiss@samba.org>
489    * BUG 13807: vfs_ceph strict_allocate_ftruncate calls (local FS) ftruncate
490      and fallocate.
492 o  Volker Lendecke <vl@samba.org>
493    * BUG 13786: messages_dgm: Properly handle receiver re-initialization.
495 o  Gary Lockyer <gary@catalyst.net.nz>
496    * BUG 13765: man pages: Document prefork process model.
497    * BUG 13773: CVE-2019-3824 ldb: wildcard_match end of data check.
499 o  Stefan Metzmacher <metze@samba.org>
500    * tdb: Fix compatibility of wscript with older python.
501    * tevent: version 0.9.39
502    * BUG 13773: CVE-2019-3824 ldb: version 1.5.4
504 o  David Mulder <dmulder@suse.com>
505    * Search for location of waf script.
507 o  Noel Power <noel.power@suse.com>
508    * BUG 13777: buildtools/wafsamba: Avoid decode when using python2.
510 o  Jiří Šašek <jiri.sasek@oracle.com>
511    * BUG 13704: notifyd: Fix SIGBUS on sparc.
513 o  Swen Schillig <swen@linux.ibm.com>
514    * BUG 13791: ctdb: Buffer write beyond limits.
516 o  Lukas Slebodnik <lslebodn@fedoraproject.org>
517    * BUG 13773: CVE-2019-3824 ldb: Out of bound read in ldb_wildcard_compare.
519 o  Martin Schwenke <martin@meltin.net>
520    * BUG 13790: ctdb-config: Change example recovery lock setting to one that
521      fails.
522    * BUG 13800: Fix recovery lock bug.
525 CHANGES SINCE 4.10.0rc2
526 =======================
528 o  Jeremy Allison <jra@samba.org>
529    * BUG 13690: smbd: uid: Don't crash if 'force group' is added to an existing
530      share connection.
531    * BUG 13770: s3: VFS: vfs_fruit. Fix the NetAtalk deny mode compatibility
532      code.
534 o  Andrew Bartlett <abartlet@samba.org>
535    * ldb: Release ldb 1.5.3
536    * BUG 13762: Avoid inefficient one-level searches.
537    * BUG 13772: The test api.py should not rely on order of entries in dict.
539 o  Tim Beale <timbeale@catalyst.net.nz>
540    * BUG 13762: ldb: Avoid inefficient one-level searches.
542 o  Ralph Boehme <slow@samba.org>
543    * BUG 13776: tldap: Avoid use after free errors.
545 o  Günther Deschner <gd@samba.org>
546    * BUG 13746: s3-smbd: Use fruit:model string for mDNS registration.
548 o  David Disseldorp <ddiss@samba.org>
549    * BUG 13766: printing: Check lp_load_printers() prior to pcap cache update.
551 o  Christof Schmitt <cs@samba.org>
552    * BUG 13787: waf: Check for libnscd.
554 o  Andreas Schneider <asn@samba.org>
555    * BUG 13770: s3:vfs: Correctly check if OFD locks should be enabled or not.
556    * BUG 13778: Public ZERO_STRUCT() uses undefined C11 function memset_s().
559 CHANGES SINCE 4.10.0rc1
560 =======================
562 o  Jeremy Allison <jra@samba.org>
563    * BUG 13750: libcli: dns: Change internal DNS_REQUEST_TIMEOUT from 2 to 10
564      seconds.
566 o  Tim Beale <timbeale@catalyst.net.nz>
567    * BUG 13676: samba-tool SMB/sysvol connections do not work if SMBv1 is
568      disabled.
569    * BUG 13747: join: Throw CommandError instead of Exception for simple errors.
571 o  Günther Deschner <gd@samba.org>
572    * BUG 13774: s3-vfs: Add glusterfs_fuse vfs module.
574 o  Volker Lendecke <vl@samba.org>
575    * BUG 13742: ctdb: Print locks latency in machinereadable stats.
577 o  Stefan Metzmacher <metze@samba.org>
578    * BUG 13752: s4:server: Add support for 'smbcontrol samba shutdown'.
580 o  Anoop C S <anoopcs@redhat.com>
581    * BUG 13330: vfs_glusterfs: Adapt to changes in libgfapi signatures.
582    * BUG 13774: s3-vfs: Use ENOATTR in errno comparison for getxattr.
584 o  Justin Stephenson <jstephen@redhat.com>
585    * BUG 13727: s3:libsmb: Honor disable_netbios option in smbsock_connect_send.
588 KNOWN ISSUES
589 ============
591 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.10#Release_blocking_bugs
594 #######################################
595 Reporting bugs & Development Discussion
596 #######################################
598 Please discuss this release on the samba-technical mailing list or by
599 joining the #samba-technical IRC channel on irc.freenode.net.
601 If you do report problems then please try to send high quality
602 feedback. If you don't provide vital information to help us track down
603 the problem then you will probably be ignored.  All bug reports should
604 be filed under the Samba 4.1 and newer product in the project's Bugzilla
605 database (https://bugzilla.samba.org/).
608 ======================================================================
609 == Our Code, Our Bugs, Our Responsibility.
610 == The Samba Team
611 ======================================================================