vfs_default: fix DEBUG messages in vfswrap_offload_write_*_done()
[Samba.git] / WHATSNEW.txt
blob25f826e441bf41552dddc85472c7c8640e23bdc7
1                    =============================
2                    Release Notes for Samba 4.9.6
3                            April 8, 2019
4                    =============================
7 This is a security release in order to address the following defects:
9 o  CVE-2019-3870 (World writable files in Samba AD DC private/ dir)
10 o  CVE-2019-3880 (Save registry file outside share as unprivileged user)
13 =======
14 Details
15 =======
17 o  CVE-2019-3870:
18    During the provision of a new Active Directory DC, some files in the private/
19    directory are created world-writable.
21 o  CVE-2019-3880:
22    Authenticated users with write permission can trigger a symlink traversal to
23    write or detect files outside the Samba share.
25 For more details and workarounds, please refer to the security advisories.
28 Changes since 4.9.5:
29 --------------------
31 o  Andrew Bartlett <abartlet@samba.org>
32    * BUG 13834: CVE-2019-3870: pysmbd: Ensure a zero umask is set for
33      smbd.mkdir().
35 o  Jeremy Allison <jra@samba.org>
36    * BUG 13851: CVE-2018-14629: rpc: winreg: Remove implementations of
37      SaveKey/RestoreKey.
40 #######################################
41 Reporting bugs & Development Discussion
42 #######################################
44 Please discuss this release on the samba-technical mailing list or by
45 joining the #samba-technical IRC channel on irc.freenode.net.
47 If you do report problems then please try to send high quality
48 feedback. If you don't provide vital information to help us track down
49 the problem then you will probably be ignored.  All bug reports should
50 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
51 database (https://bugzilla.samba.org/).
54 ======================================================================
55 == Our Code, Our Bugs, Our Responsibility.
56 == The Samba Team
57 ======================================================================
60 Release notes for older releases follow:
61 ----------------------------------------
63                    =============================
64                    Release Notes for Samba 4.9.5
65                            March 12, 2019
66                    =============================
69 Changes since 4.9.4:
70 --------------------
72 o  Andrew Bartlett <abartlet@samba.org>
73    * BUG 13714: audit_logging: Remove debug log header and JSON Authentication:
74      prefix.
75    * BUG 13760: Fix upgrade from 4.7 (or earlier) to 4.9.
77 o  Jeremy Allison <jra@samba.org>
78    * BUG 11495: s3: lib: nmbname: Ensure we limit the NetBIOS name correctly.
79      CID: 1433607.
80    * BUG 13690: smbd: uid: Don't crash if 'force group' is added to an existing
81      share connection.
82    * BUG 13770: s3: VFS: vfs_fruit. Fix the NetAtalk deny mode compatibility
83      code.
84    * BUG 13803: s3: SMB1 POSIX mkdir does case insensitive name lookup.
86 o  Christian Ambach <ambi@samba.org>
87    * BUG 13199: s3:utils/smbget fix recursive download with empty source
88      directories.
90 o  Douglas Bagnall <douglas.bagnall@catalyst.net.nz>
91    * BUG 13716: samba-tool drs showrepl: Do not crash if no dnsHostName found.
93 o  Tim Beale <timbeale@catalyst.net.nz>
94    * BUG 13736: s3:libsmb: cli_smb2_list() can sometimes fail initially on a
95      connection.
96    * BUG 13747: join: Throw CommandError instead of Exception for simple errors.
97    * BUG 13762: ldb: Avoid inefficient one-level searches.
99 o  Ralph Boehme <slow@samba.org>
100    * BUG 13736: s3: libsmb: use smb2cli_conn_max_trans_size() in
101      cli_smb2_list().
102    * BUG 13776: tldap: Avoid use after free errors.
103    * BUG 13802: Fix idmap xid2sid cache churn.
104    * BUG 13812: access_check_max_allowed() doesn't process "Owner Rights" ACEs.
106 o  Günther Deschner <gd@samba.org>
107    * BUG 13720: s3-smbd: Avoid assuming fsp is always intact after close_file
108      call.
109    * BUG 13725: s3-vfs-fruit: Add close call.
110    * BUG 13746: s3-smbd: Use fruit:model string for mDNS registration.
111    * BUG 13774: s3-vfs: add glusterfs_fuse vfs module.
113 o  David Disseldorp <ddiss@samba.org>
114    * BUG 13766: printing: Check lp_load_printers() prior to pcap cache update.
115    * BUG 13807: vfs_ceph: vfs_ceph strict_allocate_ftruncate calls (local FS)
116      ftruncate and fallocate.
118 o  Philipp Gesang <philipp.gesang@intra2net.com>
119    * BUG 13737: lib/audit_logging: Actually create talloc.
121 o  Joe Guo <joeg@catalyst.net.nz>
122    * BUG 13728: netcmd/user: python[3]-gpgme unsupported and replaced by
123      python[3]-gpg.
125 o  Aaron Haslett <aaronhaslett@catalyst.net.nz>
126    * BUG 13738: dns: Changing onelevel search for wildcard to subtree.
128 o  Björn Jacke <bj@sernet.de>
129    * BUG 13721: samba-tool: Don't print backtrace on simple DNS errors.
130    * BUG 13759: sambaundoguididx: Use the right escaped oder unescaped sam ldb
131      files.
133 o  Volker Lendecke <vl@samba.org>
134    * BUG 13742: ctdb: Print locks latency in machinereadable stats.
135    * BUG 13786: messages_dgm: Messaging gets stuck when pids are recycled.
137 o  Gary Lockyer <gary@catalyst.net.nz>
138    * BUG 13715: audit_logging: auth_json_audit required auth_json.
139    * BUG 13765: man pages: Document prefork process model.
140    * BUG 13773: CVE-2019-3824 ldb: Release ldb 1.4.6.
142 o  Stefan Metzmacher <metze@samba.org>
143    * BUG 13697: s3:auth: ignore create_builtin_guests() failing without a valid
144      idmap configuration.
145    * BUG 13722: s3:auth_winbind: Ignore a missing winbindd as NT4 PDC/BDC
146      without trusts.
147    * BUG 13723: s3:auth_winbind: return NT_STATUS_NO_LOGON_SERVERS if winbindd
148      is not available.
149    * BUG 13752: s4:server: Add support for 'smbcontrol samba shutdown' and
150      'smbcontrol <pid> debug/debuglevel'.
152 o  Noel Power <noel.power@suse.com>
153    * BUG 13616: Python: Ensure ldb.Dn can doesn't rencoded str with py2.
155 o  Anoop C S <anoopcs@redhat.com>
156    * BUG 13330: vfs_glusterfs: Adapt to changes in libgfapi signatures.
157    * BUG 13774: s3-vfs: Use ENOATTR in errno comparison for getxattr.
159 o  Jiří Šašek <jiri.sasek@oracle.com>
160    * BUG 13704: notifyd: Fix SIGBUS on sparc.
162 o  Christof Schmitt <cs@samba.org>
163    * BUG 13787: waf: Check for libnscd.
165 o  Andreas Schneider <asn@samba.org>
166    * BUG 13770: s3:vfs: Correctly check if OFD locks should be enabled or not.
168 o  Martin Schwenke <martin@meltin.net>
169    * BUG 13717: lib/util: Count a trailing line that doesn't end in a newline.
170    * BUG 13800: Recovery lock bug fixes.
172 o  Justin Stephenson <jstephen@redhat.com>
173    * BUG 13726: s3: net: Do not set NET_FLAGS_ANONYMOUS with -k.
174    * BUG 13727: s3:libsmb: Honor disable_netbios option in smbsock_connect_send.
176 o  Ralph Wuerthner <ralph.wuerthner@de.ibm.com>
177    * BUG 13741: vfs_fileid: Fix get_connectpath_ino.
178    * BUG 13744: vfs_fileid: Fix fsname_norootdir algorithm.
181 #######################################
182 Reporting bugs & Development Discussion
183 #######################################
185 Please discuss this release on the samba-technical mailing list or by
186 joining the #samba-technical IRC channel on irc.freenode.net.
188 If you do report problems then please try to send high quality
189 feedback. If you don't provide vital information to help us track down
190 the problem then you will probably be ignored.  All bug reports should
191 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
192 database (https://bugzilla.samba.org/).
195 ======================================================================
196 == Our Code, Our Bugs, Our Responsibility.
197 == The Samba Team
198 ======================================================================
201 ----------------------------------------------------------------------
204                    =============================
205                    Release Notes for Samba 4.9.4
206                           December 20, 2018
207                    =============================
210 Major bug fixes include:
211 ------------------------
213    o dns: Fix CNAME loop prevention using counter regression (bug #13600).
216 Changes since 4.9.3:
217 --------------------
219 o  Ralph Boehme <slow@samba.org>
220    * BUG 9175: libcli/smb: Don't overwrite status code.
221    * BUG 12164: wbinfo --group-info 'NT AUTHORITY\System' does not work.
222    * BUG 13661: Session setup reauth fails to sign response.
223    * BUG 13677: vfs_fruit: Validation of writes on AFP_AfpInfo stream.
224    * BUG 13688: vfs_shadow_copy2: Nicely deal with attempts to open previous
225      version for writing.
226    * BUG 13455: Restoring previous version of stream with vfs_shadow_copy2 fails
227      with NT_STATUS_OBJECT_NAME_INVALID fsp->base_fsp->fsp_name.
229 o  Isaac Boukris <iboukris@gmail.com>
230    * BUG 13571: CVE-2018-16853: Fix S4U2Self crash with MIT KDC build.
232 o  Günther Deschner <gd@samba.org>
233    * BUG 13708: s3-vfs: Prevent NULL pointer dereference in vfs_glusterfs.
235 o  Joe Guo <joeg@catalyst.net.nz>
236    * PEP8: fix E231: missing whitespace after ','.
238 o  Volker Lendecke <vl@samba.org>
239    * BUG 13629: winbindd: Fix crash when taking profiles.
241 o  Stefan Metzmacher <metze@samba.org>
242    * BUG 13600: CVE-2018-14629 dns: Fix CNAME loop prevention using counter
243      regression.
245 o  Garming Sam <garming@catalyst.net.nz>
246    * BUG 13686: 'samba-tool user syscpasswords' fails on a domain with many DCs. 
248 o  Andreas Schneider <asn@samba.org>
249    * BUG 13571: CVE-2018-16853: Do not segfault if client is not set.
250    * BUG 13679: lib:util: Fix DEBUGCLASS pointer initializiation.
252 o  Martin Schwenke <martin@meltin.net>
253    * BUG 13696: ctdb-daemon: Exit with error if a database directory does not
254      exist.
256 o  Justin Stephenson <jstephen@redhat.com>
257    * BUG 13498: s3:libads: Add net ads leave keep-account option.
260 #######################################
261 Reporting bugs & Development Discussion
262 #######################################
264 Please discuss this release on the samba-technical mailing list or by
265 joining the #samba-technical IRC channel on irc.freenode.net.
267 If you do report problems then please try to send high quality
268 feedback. If you don't provide vital information to help us track down
269 the problem then you will probably be ignored.  All bug reports should
270 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
271 database (https://bugzilla.samba.org/).
274 ======================================================================
275 == Our Code, Our Bugs, Our Responsibility.
276 == The Samba Team
277 ======================================================================
280 ----------------------------------------------------------------------
283                    =============================
284                    Release Notes for Samba 4.9.3
285                          November 27, 2018
286                    =============================
289 This is a security release in order to address the following defects:
291 o  CVE-2018-14629 (Unprivileged adding of CNAME record causing loop in AD
292                    Internal DNS server)
293 o  CVE-2018-16841 (Double-free in Samba AD DC KDC with PKINIT)
294 o  CVE-2018-16851 (NULL pointer de-reference in Samba AD DC LDAP server)
295 o  CVE-2018-16852 (NULL pointer de-reference in Samba AD DC DNS servers)
296 o  CVE-2018-16853 (Samba AD DC S4U2Self crash in experimental MIT Kerberos
297                    configuration (unsupported))
298 o  CVE-2018-16857 (Bad password count in AD DC not always effective)
301 =======
302 Details
303 =======
305 o  CVE-2018-14629:
306    All versions of Samba from 4.0.0 onwards are vulnerable to infinite
307    query recursion caused by CNAME loops. Any dns record can be added via
308    ldap by an unprivileged user using the ldbadd tool, so this is a
309    security issue.
311 o  CVE-2018-16841:
312    When configured to accept smart-card authentication, Samba's KDC will call
313    talloc_free() twice on the same memory if the principal in a validly signed
314    certificate does not match the principal in the AS-REQ.
316    This is only possible after authentication with a trusted certificate.
318    talloc is robust against further corruption from a double-free with
319    talloc_free() and directly calls abort(), terminating the KDC process.
321    There is no further vulnerability associated with this issue, merely a
322    denial of service.
324 o  CVE-2018-16851:
325    During the processing of an LDAP search before Samba's AD DC returns
326    the LDAP entries to the client, the entries are cached in a single
327    memory object with a maximum size of 256MB.  When this size is
328    reached, the Samba process providing the LDAP service will follow the
329    NULL pointer, terminating the process.
331    There is no further vulnerability associated with this issue, merely a
332    denial of service.
334 o  CVE-2018-16852:
335    During the processing of an DNS zone in the DNS management DCE/RPC server,
336    the internal DNS server or the Samba DLZ plugin for BIND9, if the
337    DSPROPERTY_ZONE_MASTER_SERVERS property or DSPROPERTY_ZONE_SCAVENGING_SERVERS
338    property is set, the server will follow a NULL pointer and terminate.
340    There is no further vulnerability associated with this issue, merely a
341    denial of service.
343 o  CVE-2018-16853:
344    A user in a Samba AD domain can crash the KDC when Samba is built in the
345    non-default MIT Kerberos configuration.
347    With this advisory we clarify that the MIT Kerberos build of the Samba
348    AD DC is considered experimental.  Therefore the Samba Team will not
349    issue security patches for this configuration.
351 o  CVE-2018-16857:
352    AD DC Configurations watching for bad passwords (to restrict brute forcing
353    of passwords) in a window of more than 3 minutes may not watch for bad
354    passwords at all.
356 For more details and workarounds, please refer to the security advisories.
359 Changes since 4.9.2:
360 --------------------
362 o  Andrew Bartlett <abartlet@samba.org>
363    * BUG 13628: CVE-2018-16841: heimdal: Fix segfault on PKINIT with
364      mis-matching principal.
365    * BUG 13678: CVE-2018-16853: build: The Samba AD DC, when build with MIT
366      Kerberos is experimental
368 o  Tim Beale <timbeale@catalyst.net.nz>
369    * BUG 13683: CVE-2018-16857: dsdb/util: Correctly treat
370      lockOutObservationWindow as 64-bit int.
372 o  Joe Guo <joeg@catalyst.net.nz>
373    * BUG 13683: CVE-2018-16857 PEP8: Fix E305: Expected 2 blank lines after
374      class or function definition, found 1.
376 o  Aaron Haslett <aaronhaslett@catalyst.net.nz>
377    * BUG 13600: CVE-2018-14629: dns: CNAME loop prevention using counter.
379 o  Gary Lockyer <gary@catalyst.net.nz>
380    * BUG 13669: CVE-2018-16852: Fix NULL pointer de-reference in Samba AD DC
381      DNS management.
383 o  Garming Sam <garming@catalyst.net.nz>
384    * BUG 13674: CVE-2018-16851: ldap_server: Check ret before manipulating blob.
387 #######################################
388 Reporting bugs & Development Discussion
389 #######################################
391 Please discuss this release on the samba-technical mailing list or by
392 joining the #samba-technical IRC channel on irc.freenode.net.
394 If you do report problems then please try to send high quality
395 feedback. If you don't provide vital information to help us track down
396 the problem then you will probably be ignored.  All bug reports should
397 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
398 database (https://bugzilla.samba.org/).
401 ======================================================================
402 == Our Code, Our Bugs, Our Responsibility.
403 == The Samba Team
404 ======================================================================
407 ----------------------------------------------------------------------
410                    =============================
411                    Release Notes for Samba 4.9.2
412                          November 08, 2018
413                    =============================
416 This is the latest stable release of the Samba 4.9 release series.
419 Changes since 4.9.1:
420 --------------------
422 o  Andrew Bartlett <abartlet@samba.org>
423    * BUG 13418: dsdb: Add comments explaining the limitations of our current
424      backlink behaviour.
425    * BUG 13621: Fix problems running domain backups (handling SMBv2, sites).
427 o  Tim Beale <timbeale@catalyst.net.nz>
428    * BUG 13621: Fix problems running domain backups (handling SMBv2, sites).
430 o  Ralph Boehme <slow@samba.org>
431    * BUG 13465: testparm: Fix crashes with PANIC: Messaging not initialized on
432      SLES 12 SP3.
433    * BUG 13642: Make vfs_fruit able to cleanup AppleDouble files.
434    * BUG 13646: File saving issues with vfs_fruit on samba >= 4.8.5.
435    * BUG 13649: Enabling vfs_fruit looses FinderInfo.
436    * BUG 13667: Cancelling of SMB2 aio reads and writes returns wrong error
437      NT_STATUS_INTERNAL_ERROR.
439 o  Amitay Isaacs <amitay@gmail.com>
440    * BUG 13641: Fix CTDB recovery record resurrection from inactive nodes and
441      simplify vacuuming.
443 o  Volker Lendecke <vl@samba.org>
444    * BUG 13465: examples: Fix the smb2mount build.
445    * BUG 13629: libtevent: Fix build due to missing open_memstream on Illiumos.
446    * BUG 13662: winbindd_cache: Fix timeout calculation for sid<->name cache.
448 o  Gary Lockyer <gary@catalyst.net.nz>
449    * BUG 13653: dsdb encrypted_secrets: Allow "ldb:// and "mdb://" in file path.
451 o  Stefan Metzmacher <metze@samba.org>
452    * BUG 13418: Extended DN SID component missing for member after switching
453      group membership.
454    * BUG 13624: Return STATUS_SESSION_EXPIRED error encrypted, if the request
455      was encrypted.
457 o  David Mulder <dmulder@suse.com>
458    * BUG 13621: python: Allow forced signing via smb.SMB().
459    * BUG 13665: lib:socket: If returning early, set ifaces.
461 o  Noel Power <noel.power@suse.com>
462    * BUG 13616: ldb: Bump ldb version to 1.4.3, Python: Ensure ldb.Dn can accept
463      utf8 encoded unicode.
465 o  Christof Schmitt <cs@samba.org>
466    * BUG 13465: testparm: Fix crashes with PANIC: Messaging not initialized on
467      SLES 12 SP3.
468    * BUG 13673: smbd: Fix DELETE_ON_CLOSE behaviour on files with READ_ONLY
469      attribute.
471 o  Andreas Schneider <asn@samba.org>
472    * BUG 13601: waf: Add -fstack-clash-protection.
473    * BUG 13668: winbind: Fix segfault if an invalid passdb backend is
474      configured.
476 o  Martin Schwenke <martin@meltin.net>
477    * BUG 13659: Fix bugs in CTDB event handling.
478    * BUG 13670: Misbehaving nodes are sometimes not banned.
481 #######################################
482 Reporting bugs & Development Discussion
483 #######################################
485 Please discuss this release on the samba-technical mailing list or by
486 joining the #samba-technical IRC channel on irc.freenode.net.
488 If you do report problems then please try to send high quality
489 feedback. If you don't provide vital information to help us track down
490 the problem then you will probably be ignored.  All bug reports should
491 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
492 database (https://bugzilla.samba.org/).
495 ======================================================================
496 == Our Code, Our Bugs, Our Responsibility.
497 == The Samba Team
498 ======================================================================
501 ----------------------------------------------------------------------
504                    =============================
505                    Release Notes for Samba 4.9.1
506                          September 24, 2018
507                    =============================
510 This is the latest stable release of the Samba 4.9 release series.
513 Major enhancements include:
514 ---------------------------
516    o  s3: nmbd: Stop nmbd network announce storm (bug #13620).
519 Changes since 4.9.0:
520 --------------------
522 o  Andrew Bartlett <abartlet@samba.org>
523    * BUG 13620: s3: nmbd: Stop nmbd network announce storm.
525 o  Günther Deschner <gd@samba.org>
526    * BUG 13597: s3-rpcclient: Use spoolss_init_spoolss_UserLevel1 in winspool
527      cmds.
529 o  Martin Schwenke <martin@meltin.net>
530    * BUG 13617: CTDB recovery lock has some race conditions.
532 o  Justin Stephenson <jstephen@redhat.com>
533    * BUG 13597: s3-rpc_client: Advertise Windows 7 client info.
535 o  Ralph Wuerthner <ralph.wuerthner@de.ibm.com>
536    * BUG 13610: ctdb-doc: Remove PIDFILE option from ctdbd_wrapper man page.
539 #######################################
540 Reporting bugs & Development Discussion
541 #######################################
543 Please discuss this release on the samba-technical mailing list or by
544 joining the #samba-technical IRC channel on irc.freenode.net.
546 If you do report problems then please try to send high quality
547 feedback. If you don't provide vital information to help us track down
548 the problem then you will probably be ignored.  All bug reports should
549 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
550 database (https://bugzilla.samba.org/).
553 ======================================================================
554 == Our Code, Our Bugs, Our Responsibility.
555 == The Samba Team
556 ======================================================================
559 ----------------------------------------------------------------------
562                    =============================
563                    Release Notes for Samba 4.9.0
564                         September 13, 2018
565                    =============================
568 This is the first stable release of the Samba 4.9 release series.
569 Please read the release notes carefully before upgrading.
572 NEW FEATURES/CHANGES
573 ====================
575 'net ads setspn'
576 ----------------
578 There is a new 'net ads setspn' sub command for managing Windows SPN(s)
579 on the AD. This command aims to give the basic functionality that is
580 provided on windows by 'setspn.exe' e.g. ability to add, delete and list
581 Windows SPN(s) stored in a Windows AD Computer object.
583 The format of the command is:
585 net ads setspn list [machine]
586 net ads setspn [add | delete ] SPN [machine]
588 'machine' is the name of the computer account on the AD that is to be managed.
589 If 'machine' is not specified the name of the 'client' running the command
590 is used instead.
592 The format of a Windows SPN is
593   'serviceclass/host:port/servicename' (servicename and port are optional)
595 serviceclass/host is generally sufficient to specify a host based service.
597 'net ads keytab' changes
598 ------------------------
600 net ads keytab add no longer attempts to convert the passed serviceclass
601 (e.g. nfs, html etc.) into a Windows SPN which is added to the Windows AD
602 computer object. By default just the keytab file is modified.
604 A new keytab subcommand 'add_update_ads' has been added to preserve the
605 legacy behaviour. However the new 'net ads setspn add' subcommand should
606 really be used instead.
608 net ads keytab create no longer tries to generate SPN(s) from existing
609 entries in a keytab file. If it is required to add Windows SPN(s) then
610 'net ads setspn add' should be used instead.
612 Local authorization plugin for MIT Kerberos
613 -------------------------------------------
615 This plugin controls the relationship between Kerberos principals and AD
616 accounts through winbind. The module receives the Kerberos principal and the
617 local account name as inputs and can then check if they match. This can resolve
618 issues with canonicalized names returned by Kerberos within AD. If the user
619 tries to log in as 'alice', but the samAccountName is set to ALICE (uppercase),
620 Kerberos would return ALICE as the username. Kerberos would not be able to map
621 'alice' to 'ALICE' in this case and auth would fail.  With this plugin, account
622 names can be correctly mapped. This only applies to GSSAPI authentication,
623 not for getting the initial ticket granting ticket.
625 VFS audit modules
626 -----------------
628 The vfs_full_audit module has changed its default set of monitored successful
629 and failed operations from "all" to "none". That helps to prevent potential
630 denial of service caused by simple addition of the module to the VFS objects.
632 Also, modules vfs_audit, vfs_ext_audit and vfs_full_audit now accept any valid
633 syslog(3) facility, in accordance with the manual page.
635 Database audit support
636 ----------------------
638 Changes to the Samba AD's sam.ldb database are now logged to Samba's debug log
639 under the "dsdb_audit" debug class and "dsdb_json_audit" for JSON formatted log
640 entries.
642 Transaction commits and roll backs are now logged to Samba's debug logs under
643 the "dsdb_transaction_audit" debug class and "dsdb_transaction_json_audit" for
644 JSON formatted log entries.
646 Password change audit support
647 -----------------------------
649 Password changes in the AD DC are now logged to Samba's debug logs under the
650 "dsdb_password_audit" debug class and "dsdb_password_json_audit" for JSON
651 formatted log entries.
653 Group membership change audit support
654 -------------------------------------
656 Group membership changes on the AD DC are now logged to
657 Samba's debug log under the "dsdb_group_audit" debug class and
658 "dsdb_group_json_audit" for JSON formatted log entries.
660 Log Authentication duration
661 ---------------------------
663 For NTLM and Kerberos KDC authentication, the authentication duration is now
664 logged. Note that the duration is only included in the JSON formatted log
665 entries.
667 JSON library Jansson required for the AD DC
668 -------------------------------------------
670 By default, the Jansson JSON library is required for Samba to build.
671 It is strictly required for the Samba AD DC, and is optional for
672 builds "--without-ad-dc" by specifying "--without-json-audit" at configure
673 time.
675 New experimental LMDB LDB backend
676 ---------------------------------
678 A new experimental LDB backend using LMDB is now available. This allows
679 databases larger than 4Gb (Currently the limit is set to 6Gb, but this will be
680 increased in a future release). To enable lmdb, provision or join a domain using
681 the "--backend-store=mdb" option.
683 This requires that a version of lmdb greater than 0.9.16 is installed and that
684 samba has not been built with the "--without-ldb-lmdb" option.
686 Please note this is an experimental feature and is not recommended for
687 production deployments.
689 Password Settings Objects
690 -------------------------
692 Support has been added for Password Settings Objects (PSOs). This AD feature is
693 also known as Fine-Grained Password Policies (FGPP).
695 PSOs allow AD administrators to override the domain password policy settings
696 for specific users, or groups of users. For example, PSOs can force certain
697 users to have longer password lengths, or relax the complexity constraints for
698 other users, and so on. PSOs can be applied to groups or to individual users.
699 When multiple PSOs apply to the same user, essentially the PSO with the best
700 precedence takes effect.
702 PSOs can be configured and applied to users/groups using the 'samba-tool domain
703 passwordsettings pso' set of commands.
705 Domain backup and restore
706 -------------------------
708 A new 'samba-tool' subcommand has been added that allows administrators to
709 create a backup-file of their domain DB. In the event of a catastrophic failure
710 of the domain, this backup-file can be used to restore Samba services.
712 The new 'samba-tool domain backup online' command takes a snapshot of the
713 domain DB from a given DC. In the event of a catastrophic DB failure, all DCs
714 in the domain should be taken offline, and the backup-file can then be used to
715 recreate a fresh new DC, using the 'samba-tool domain backup restore' command.
716 Once the backed-up domain DB has been restored on the new DC, other DCs can
717 then subsequently be joined to the new DC, in order to repopulate the Samba
718 network.
720 Domain rename tool
721 ------------------
723 Basic support has been added for renaming a Samba domain. The rename feature is
724 designed for the following cases:
725 1). Running a temporary alternate domain, in the event of a catastrophic
726 failure of the regular domain. Using a completely different domain name and
727 realm means that the original domain and the renamed domain can both run at the
728 same time, without interfering with each other. This is an advantage over
729 creating a regular 'online' backup - it means the renamed/alternate domain can
730 provide core Samba network services, while trouble-shooting the fault on the
731 original domain can be done in parallel.
732 2). Creating a realistic lab domain or pre-production domain for testing.
734 Note that the renamed tool is currently not intended to support a long-term
735 rename of the production domain. Currently renaming the GPOs is not supported
736 and would need to be done manually.
738 The domain rename is done in two steps: first, the 'samba-tool domain backup
739 rename' command will clone the domain DB, renaming it in the process, and
740 producing a backup-file. Then, the 'samba-tool domain backup restore' command
741 takes the backup-file and restores the renamed DB to disk on a fresh DC.
743 New samba-tool options for diagnosing DRS replication issues
744 ------------------------------------------------------------
746 The 'samba-tool drs showrepl' command has two new options controlling
747 the output. With --summary, the command says very little when DRS
748 replication is working well. With --json, JSON is produced. These
749 options are intended for human and machine audiences, respectively.
751 The 'samba-tool visualize uptodateness' visualizes replication lag as
752 a heat-map matrix based on the DRS uptodateness vectors. This will
753 show you if (but not why) changes are failing to replicate to some DCs.
755 Automatic site coverage and GetDCName improvements
756 --------------------------------------------------
758 Samba's AD DC now automatically claims otherwise empty sites based on
759 which DC is the nearest in the replication topology.
761 This, combined with efforts to correctly identify the client side in
762 the GetDCName Netlogon call will improve service to sites without a
763 local DC.
765 Improved 'samba-tool computer' command
766 --------------------------------------
768 The 'samba-tool computer' command allow manipulation of computer
769 accounts including creating a new computer and resetting the password.
770 This allows an 'offline join' of a member server or workstation to the
771 Samba AD domain.
773 New 'samba-tool ou' command
774 ---------------------------
776 The new 'samba-tool ou' command allows to manage organizational units.
778 Available subcommands are:
779   create       - Create an organizational unit.
780   delete       - Delete an organizational unit.
781   list         - List all organizational units
782   listobjects  - List all objects in an organizational unit.
783   move         - Move an organizational unit.
784   rename       - Rename an organizational unit.
786 In addition to the ou commands, there are new subcommands for the user
787 and group management, which can make use of the organizational units:
788   group move   - Move a group to an organizational unit/container.
789   user move    - Move a user to an organizational unit/container.
790   user show    - Display a user AD object.
792 Samba performance tool now operates against Microsoft Windows AD
793 ----------------------------------------------------------------
795 The Samba AD performance testing tool 'traffic_reply' can now operate
796 against a Windows based AD domain.  Previously it only operated
797 correctly against Samba.
799 DNS entries are now cleaned up during DC demote
800 -----------------------------------------------
802 DNS records are now cleaned up as part of the 'samba-tool domain
803 demote' including both the default and '--remove-other-dead-server'
804 modes.
806 Additionally, DNS records can be automatically cleaned up for a given
807 name with the 'samba-tool dns cleanup' command, which aids in cleaning
808 up partially removed DCs.
810 samba-tool ntacl sysvolreset is now much faster
811 -----------------------------------------------
813 The 'samba-tool ntacl sysvolreset' command, used on the Samba AD DC,
814 is now much faster than in previous versions, after an internal
815 rework.
817 Samba now tested with CI GitLab
818 -------------------------------
820 Samba developers now have pre-commit testing available in GitLab,
821 giving reviewers confidence that the submitted patches pass a full CI
822 before being submitted to the Samba Team's own autobuild system.
824 Dynamic DNS record scavenging support
825 -------------------------------------
827 It is now possible to enable scavenging of DNS Zones to remove DNS
828 records that were dynamically created and have not been touched in
829 some time.
831 This support should however only be enabled on new zones or new
832 installations.  Sadly old Samba versions suffer from BUG 12451 and
833 mark dynamic DNS records as static and static records as dynamic.
834 While a dbcheck rule may be able to find these in the future,
835 currently a reliable test has not been devised.
837 Finally, there is not currently a command-line tool to enable this
838 feature, currently it should be enabled from the DNS Manager tool from
839 Windows. Also the feature needs to have been enabled by setting the smb.conf
840 parameter "dns zone scavenging = yes".
842 Improved support for trusted domains (as AD DC)
843 -----------------------------------------------
845 The support for trusted domains/forests has been further improved.
847 External domain trusts, as well a transitive forest trusts,
848 are supported in both directions (inbound and outbound)
849 for Kerberos and NTLM authentication.
851 The following features are new in 4.9 (compared to 4.8):
853 - It's now possible to add users/groups of a trusted domain
854   into domain groups. The group memberships are expanded
855   on trust boundaries.
856 - foreignSecurityPrincipal objects (FPO) are now automatically
857   created when members (as SID) of a trusted domain/forest
858   are added to a group.
859 - The 'samba-tool group *members' commands allow
860   members to be specified as foreign SIDs.
862 However there are currently still a few limitations:
864 - Both sides of the trust need to fully trust each other!
865 - No SID filtering rules are applied at all!
866 - This means DCs of domain A can grant domain admin rights
867   in domain B.
868 - Selective (CROSS_ORGANIZATION) authentication is
869   not supported. It's possible to create such a trust,
870   but the KDC and winbindd ignore them.
871 - Samba can still only operate in a forest with just
872   one single domain.
874 CTDB changes
875 ------------
877 There are many changes to CTDB in this release.
879 * Configuration has been completely overhauled
881   - Daemon and tool options are now specified in a new ctdb.conf
882     Samba-style configuration file.  See ctdb.conf(5) for details.
884   - Event script configuration is no longer specified in the top-level
885     configuration file.  It can now be specified per event script.
886     For example, configuration options for the 50.samba event script
887     can be placed alongside the event script in a file called
888     50.samba.options.  Script options can also be specified in a new
889     script.options file.  See ctdb-script.options(5) for details.
891   - Options that affect CTDB startup should be configured in the
892     distribution-specific configuration file.  See ctdb.sysconfig(5)
893     for details.
895   - Tunable settings are now loaded from ctdb.tunables.  Using
896     CTDB_SET_TunableVariable=<value> in the main configuration file is
897     no longer supported.  See ctdb-tunables(7) for details.
899   A example script to migrate an old-style configuration to the new
900   style is available in ctdb/doc/examples/config_migrate.sh.
902 * The following configuration variables and corresponding ctdbd
903   command-line options have been removed and not replaced with
904   counterparts in the new configuration scheme:
906     CTDB_PIDFILE                     --pidfile
907     CTDB_SOCKET                      --socket
908     CTDB_NODES                       --nlist
909     CTDB_PUBLIC_ADDRESSES            --public-addresses
910     CTDB_EVENT_SCRIPT_DIR            --event-script-dir
911     CTDB_NOTIFY_SCRIPT               --notification-script
912     CTDB_PUBLIC_INTERFACE            --public-interface
913     CTDB_MAX_PERSISTENT_CHECK_ERRORS --max-persistent-check-errors
915   - The compile-time defaults should be used for the first 6 of these.
916   - Use a symbolic link from the configuration directory to specify a
917     different location for nodes or public_addresses (e.g. in the
918     cluster filesystem).
919   - Executable notification scripts in the notify.d/ subdirectory of
920     the configuration directory are now run by unconditionally.
921   - Interfaces for public IP addresses must always be specified in the
922     public_addresses file using the currently supported format.
924   Some related items that have been removed are:
926   - The ctdb command's --socket command-line option
927   - The ctdb command's CTDB_NODES environment variable
929   When writing tests there are still mechanisms available to change
930   the locations of certain directories and files.
932 * The following ctdbd.conf and ctdbd options have been replaced by new
933   ctdb.conf options:
935     CTDB_LOGGING/--logging                     logging  -> location
936     CTDB_DEBUGLEVEL/-d                         logging  -> log level
937     CTDB_TRANSPORT/--transport                 cluster  -> transport
938     CTDB_NODE_ADDRESS/--listen                 cluster  -> node address
939     CTDB_RECOVERY_LOCK/--reclock               cluster  -> recovery lock
940     CTDB_DBDIR/--dbdir                         database -> volatile database directory
941     CTDB_DBDIR_PERSISTENT/--dbdir-persistent   database -> peristent database directory
942     CTDB_DBDIR_STATE/--dbdir-state             database -> state database directory
943     CTDB_DEBUG_LOCKS                           database -> lock debug script
944     CTDB_DEBUG_HUNG_SCRIPT                     event    -> debug script
945     CTDB_NOSETSCHED/--nosetsched               legacy   -> realtime scheduling
946     CTDB_CAPABILITY_RECMASTER/--no-recmaster   legacy   -> recmaster capability
947     CTDB_CAPABILITY_LMASTER/--no-lmaster       legacy   -> lmaster capability
948     CTDB_START_AS_STOPPED/--start-as-stopped   legacy   -> start as stopped
949     CTDB_START_AS_DISABLED/--start-as-disabled legacy   -> start as disabled
950     CTDB_SCRIPT_LOG_LEVEL/--script-log-level   legacy   -> script log level
952 * Event scripts have moved to the scripts/legacy subdirectory of the
953   configuration directory
955   Event scripts must now end with a ".script" suffix.
957 * The "ctdb event" command has changed in 2 ways:
959   - A component is now required for all commands
961     In this release the only valid component is "legacy".
963   - There is no longer a default event when running "ctdb event status"
965     Listing the status of the "monitor" event is now done via:
967       ctdb event status legacy monitor
969    See ctdb(1) for details.
971 * The following service-related event script options have been
972   removed:
974     CTDB_MANAGES_SAMBA
975     CTDB_MANAGES_WINBIND
977     CTDB_MANAGES_CLAMD
978     CTDB_MANAGES_HTTPD
979     CTDB_MANAGES_ISCSI
980     CTDB_MANAGES_NFS
981     CTDB_MANAGES_VSFTPD
983     CTDB_MANAGED_SERVICES
985   Event scripts for services are now disabled by default.  To enable
986   an event script and, therefore, manage a service use a command like
987   the following:
989     ctdb event script enable legacy 50.samba
991 * Notification scripts have moved to the scripts/notification
992   subdirectory of the configuration directory
994   Notification scripts must now end with a ".script" suffix.
996 * Support for setting CTDB_DBDIR=tmpfs has been removed
998   This feature has not been implemented in the new configuration
999   system.  If this is desired then a tmpfs filesystem should be
1000   manually mounted on the directory pointed to by the "volatile
1001   database directory" option.  See ctdb.conf(5) for more details.
1003 * The following tunable options are now ctdb.conf options:
1005     DisabledIPFailover    failover -> disabled
1006     TDBMutexEnabled       database -> tdb mutexes
1008 * Support for the NoIPHostOnAllDisabled tunable has been removed
1010   If all nodes are unhealthy or disabled then CTDB will not host
1011   public IP addresses.  That is, CTDB now behaves as if
1012   NoIPHostOnAllDisabled were set to 1.
1014 * The onnode command's CTDB_NODES_FILE environment variable has been
1015   removed
1017   The -f option can still be used to specify an alternate node file.
1019 * The 10.external event script has been removed
1021 * The CTDB_SHUTDOWN_TIMEOUT configuration variable has been removed
1023   As with other daemons, if ctdbd does not shut down when requested
1024   then manual intervention is required.  There is no safe way of
1025   automatically killing ctdbd after a failed shutdown.
1027 * CTDB_SUPPRESS_COREFILE and CTDB_MAX_OPEN_FILES configuration
1028   variable have been removed
1030   These should be setup in the systemd unit/system file or, for SYSV
1031   init, in the distribution-specific configuration file for the ctdb
1032   service.
1034 * CTDB_PARTIALLY_ONLINE_INTERFACES incompatibility no longer enforced
1036   11.natgw and 91.lvs will no longer fail if
1037   CTDB_PARTIALLY_ONLINE_INTERFACES=yes.  The incompatibility is,
1038   however, well documented.  This option will be removed in future and
1039   replaced by sensible behaviour where public IP addresses simply
1040   switch interfaces or become unavailable when interfaces are down.
1042 * Configuration file /etc/ctdb/sysconfig/ctdb is no longer supported
1044 GPO Improvements
1045 ----------------
1047 The 'samba_gpoupdate' command (used in applying Group Policies to the
1048 Samba machine itself) has been renamed to "samba_gpupdate" and had the
1049 syntax changed to better match the same tool on Windows.
1051 New glusterfs_fuse VFS module
1052 -----------------------------
1054 The new vfs_glusterfs_fuse module improves performance when Samba
1055 accesses a glusterfs volume mounted via FUSE (Filesystem in Userspace
1056 as part of the Linux kernel). It achieves that by leveraging a
1057 mechanism to retrieve the appropriate case of filenames by querying a
1058 specific extended attribute in the filesystem. No extra configuration
1059 is required to use this module, only glusterfs_fuse needs to be set in
1060 the "vfs objects" parameter. Further details can be found in the
1061 vfs_glusterfs_fuse(8) manpage. This new vfs_glusterfs_fuse module does
1062 not replace the existing vfs_glusterfs module, it just provides an
1063 additional, alternative mechanism to access a Gluster volume.
1065 REMOVED FEATURES
1066 ================
1070 smb.conf changes
1071 ================
1073 As the most popular Samba install platforms (Linux and FreeBSD) both
1074 support extended attributes by default, the parameters "map readonly",
1075 "store dos attributes" and "ea support" have had their defaults changed
1076 to allow better Windows fileserver compatibility in a default install.
1078   Parameter Name                     Description             Default
1079   --------------                     -----------             -------
1080   map readonly                       Default changed              no
1081   store dos attributes               Default changed             yes
1082   ea support                         Default changed             yes
1083   full_audit:success                 Default changed            none
1084   full_audit:failure                 Default changed            none
1086 VFS interface changes
1087 =====================
1089 The VFS ABI interface version has changed to 39. Function changes
1090 are:
1092 SMB_VFS_FSYNC: Removed: Only async versions are used.
1093 SMB_VFS_READ: Removed: Only PREAD or async versions are used.
1094 SMB_VFS_WRITE: Removed: Only PWRITE or async versions are used.
1095 SMB_VFS_CHMOD_ACL: Removed: Only CHMOD is used.
1096 SMB_VFS_FCHMOD_ACL: Removed: Only FCHMOD is used.
1098 Any external VFS modules will need to be updated to match these
1099 changes in order to work with 4.9.x.
1101 CHANGES SINCE 4.9.0rc5
1102 ======================
1104 o  Björn Baumbach <bb@sernet.de>
1105    * BUG 13605: samba_dnsupdate: Honor 'dns zone scavenging' option, only
1106      update if needed.
1108 o  Andreas Schneider <asn@samba.org>
1109    * BUG 13606: wafsamba: Fix 'make -j<jobs>'.
1111 CHANGES SINCE 4.9.0rc4
1112 ======================
1114 o  Jeremy Allison <jra@samba.org>
1115    * BUG 13565: s3: VFS: vfs_full_audit: Ensure smb_fname_str_do_log() only
1116      returns absolute pathnames.
1118 o  Paulo Alcantara <paulo@paulo.ac>
1119    * BUG 13578: s3: util: Do not take over stderr when there is no log file.
1121 o  Ralph Boehme <slow@samba.org>
1122    * BUG 13549: Durable Reconnect fails because cookie.allow_reconnect is not
1123      set.
1125 o  Alexander Bokovoy <ab@samba.org>
1126    * BUG 13539: krb5-samba: Interdomain trust uses different salt principal.
1128 o  Volker Lendecke <vl@samba.org>
1129    * BUG 13441: vfs_fruit: Don't unlink the main file.
1130    * BUG 13602: smbd: Fix a memleak in async search ask sharemode.
1132 o  Stefan Metzmacher <metze@samba.org>
1133    * BUG 11517: Fix Samba GPO issue when Trust is enabled.
1134    * BUG 13539: samba-tool: Add "virtualKerberosSalt" attribute to
1135      'user getpassword/syncpasswords'.
1137 o  Martin Schwenke <martin@meltin.net>
1138    * BUG 13589: Fix CTDB configuration issues.
1139    * BUG 13592: ctdbd logs an error until it can successfully connect to
1140      eventd.
1143 CHANGES SINCE 4.9.0rc3
1144 ======================
1146 o  Jeremy Allison <jra@samba.org>
1147    * BUG 13585: s3: smbd: Ensure get_real_filename() copes with empty
1148      pathnames.
1150 o  Tim Beale <timbeale@catalyst.net.nz>
1151    * BUG 13566: samba domain backup online/rename commands force user to specify
1152      password on CLI.
1154 o  Alexander Bokovoy <ab@samba.org>
1155    * BUG 13579: wafsamba/samba_abi: Always hide ABI symbols which must be
1156      local.
1158 o  Volker Lendecke <vl@samba.org>
1159    * BUG 13584: Fix a panic if fruit_access_check detects a locking conflict.
1161 o  Andreas Schneider <asn@samba.org>
1162    * BUG 13567: Fix memory and resource leaks.
1163    * BUG 13580: python: Fix print in dns_invalid.py.
1165 o  Martin Schwenke <martin@meltin.net>
1166    * BUG 13588: Aliasing issue causes incorrect IPv6 checksum.
1167    * BUG 13589: Fix CTDB configuration issues.
1169 o  Ralph Wuerthner <ralph.wuerthner@de.ibm.com>
1170    * BUG 13568: s3: vfs: time_audit: fix handling of token_blob in
1171      smb_time_audit_offload_read_recv().
1174 CHANGES SINCE 4.9.0rc2
1175 ======================
1177 o  Jeremy Allison <jra@samba.org>
1178    * BUG 13453: CVE-2018-10858: libsmb: Harden smbc_readdir_internal() against
1179      returns from malicious servers.
1181 o  Andrew Bartlett <abartlet@samba.org>
1182    * BUG 13374: CVE-2018-1140: ldbsearch '(distinguishedName=abc)' and DNS query
1183      with escapes crashes, ldb: Release LDB 1.3.5 for CVE-2018-1140
1184    * BUG 13552: CVE-2018-10918: cracknames: Fix DoS (NULL pointer de-ref) when
1185      not servicePrincipalName is set on a user.
1187 o  Tim Beale <timbeale@catalyst.net.nz>
1188    * BUG 13434: CVE-2018-10919: acl_read: Fix unauthorized attribute access via
1189      searches.
1191 o  Samuel Cabrero <scabrero@suse.de>
1192    * BUG 13540: ctdb_mutex_ceph_rados_helper: Set SIGINT signal handler.
1194 o  Günther Deschner <gd@samba.org>
1195    * BUG 13360: CVE-2018-1139 libcli/auth: Do not allow ntlmv1 over SMB1 when it
1196      is disabled via "ntlm auth".
1197    * BUG 13529: s3-tldap: do not install test_tldap.
1199 o  David Disseldorp <ddiss@samba.org>
1200    * BUG 13540: ctdb_mutex_ceph_rados_helper: Fix deadlock via lock renewals.
1202 o  Andrej Gessel <Andrej.Gessel@janztec.com>
1203    * BUG 13374: CVE-2018-1140 Add NULL check for ldb_dn_get_casefold() in
1204      ltdb_index_dn_attr().
1206 o  Amitay Isaacs <amitay@gmail.com>
1207    * BUG 13554: ctdb-eventd: Fix CID 1438155.
1209 o  Volker Lendecke <vl@samba.org>
1210    * BUG 13553: Fix CIDs 1438243, (Unchecked return value) 1438244
1211      (Unsigned compared against 0), 1438245 (Dereference before null check) and
1212      1438246 (Unchecked return value).
1213    * BUG 13554: ctdb: Fix a cut&paste error.
1215 o  Oleksandr Natalenko <oleksandr@redhat.com>
1216    * BUG 13559: systemd: Only start smb when network interfaces are up.
1218 o  Noel Power <noel.power@suse.com>
1219    * BUG 13553: Fix quotas don't work with SMB2.
1220    * BUG 13563: s3/smbd: Ensure quota code is only called when quota support
1221      detected.
1223 o  Anoop C S <anoopcs@redhat.com>
1224    * BUG 13204: s3/libsmb: Explicitly set delete_on_close token for rmdir.
1226 o  Andreas Schneider <asn@samba.org>
1227    * BUG 13561: s3:waf: Install eventlogadm to /usr/sbin.
1229 o  Justin Stephenson <jstephen@redhat.com>
1230    * BUG 13562: Shorten description in vfs_linux_xfs_sgid manual.
1233 CHANGES SINCE 4.9.0rc1
1234 ======================
1236 o  Jeremy Allison <jra@samba.org>
1237    * BUG 13537: s3: smbd:  Using "sendfile = yes" with SMB2 can cause CPU spin.
1239 o  Ralph Boehme <slow@samba.org>
1240    * BUG 13535: s3: smbd: Fix path check in
1241      smbd_smb2_create_durable_lease_check().
1243 o  Alexander Bokovoy <ab@samba.org>
1244    * BUG 13538: samba-tool trust: Support discovery via netr_GetDcName.
1245    * BUG 13542: s4-dsdb: Only build dsdb Python modules for AD DC.
1247 o  Amitay Isaacs <amitay@gmail.com>
1248    * BUG 13520: Fix portability issues on freebsd.
1250 o  Gary Lockyer <gary@catalyst.net.nz>
1251    * BUG 13536: DNS wildcard search does not handle multiple labels correctly.
1253 o  Stefan Metzmacher <metze@samba.org>
1254    * BUG 13308: samba-tool domain trust: Fix trust compatibility to Windows
1255      Server 1709 and FreeIPA.
1257 o  Martin Schwenke <martin@meltin.net>
1258    * BUG 13520: Fix portability issues on freebsd.
1259    * BUG 13545: ctdb-protocol: Fix CTDB compilation issues.
1260    * BUG 13546: ctdb-docs: Replace obsolete reference to CTDB_DEBUG_HUNG_SCRIPT
1261      option.
1262    * BUG 13550: ctdb-doc: Provide an example script for migrating old
1263      configuration.
1264    * BUG 13551: ctdb-event: Implement event tool "script list" command.
1267 KNOWN ISSUES
1268 ============
1270 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.9#Release_blocking_bugs
1273 #######################################
1274 Reporting bugs & Development Discussion
1275 #######################################
1277 Please discuss this release on the samba-technical mailing list or by
1278 joining the #samba-technical IRC channel on irc.freenode.net.
1280 If you do report problems then please try to send high quality
1281 feedback. If you don't provide vital information to help us track down
1282 the problem then you will probably be ignored.  All bug reports should
1283 be filed under the Samba 4.1 and newer product in the project's Bugzilla
1284 database (https://bugzilla.samba.org/).
1287 ======================================================================
1288 == Our Code, Our Bugs, Our Responsibility.
1289 == The Samba Team
1290 ======================================================================