WHATSNEW: Update release notes.
[samba.git] / WHATSNEW.txt
1                    ==============================
2                    Release Notes for Samba 4.2.12
3                            April , 2016
4                    ==============================
5
6
7 This is the latest stable release of Samba 4.2.
8
9 This release fixes some regressions introduced by the last security fixes.
10 Please see bug https://bugzilla.samba.org/show_bug.cgi?id=11849 for a list of
11 bugs addressing these regressions and more information.
12
13
14 Changes since 4.2.11:
15 ---------------------
16
17 o  Jeremy Allison <jra@samba.org>
18    * BUG 10489: s3: smbd: posix_acls: Fix check for setting u:g:o entry on a
19      filesystem with no ACL support.
20    * BUG 11703: s3: smbd: Fix timestamp rounding inside SMB2 create.
21    * BUG 11742: lib: tevent: Fix memory leak when old signal action restored.
22    * BUG 11771: lib: tevent: Fix memory leak when old signal action restored.
23
24
25 o  Christian Ambach <ambi@samba.org>
26    * BUG 6482: s3:utils/smbget: Fix recursive download.
27
28
29 o  Andrew Bartlett <abartlet@samba.org>
30    * BUG 11780: smbd: Only check dev/inode in open_directory, not the full
31      stat().
32    * BUG 11789: build: Mark explicit dependencies on pytalloc-util.
33
34
35 o  Ralph Boehme <slow@samba.org>
36    * BUG 11714: lib/tsocket: Work around sockets not supporting FIONREAD.
37
38
39 o  Günther Deschner <gd@samba.org>
40    * BUG 11789: libsmb/pysmb: add pytalloc-util dependency to fix the build.
41
42
43 o  Berend De Schouwer <berend.de.schouwer@gmail.com>
44    * BUG 11643: docs: Add example for domain logins to smbspool man page.
45
46
47 o  Nathan Huff <nhuff@acm.org>
48    * BUG 11771: Fix ETIME handling for Solaris event ports.
49
50
51 o  Volker Lendecke <vl@samba.org>
52    * BUG 11732: param: Fix str_list_v3 to accept ";" again.
53    * BUG 11816: nwrap: Fix the build on Solaris.
54    * BUG 11827: Fix memleak.
55
56
57 o  Justin Maggard <jmaggard10@gmail.com>
58    * BUG 11773: s3:smbd: Add negprot remote arch detection for OSX.
59
60
61 o  Stefan Metzmacher <metze@samba.org>
62    * BUG 11742: tevent: version 0.9.28. Fix memory leak when old signal action
63      restored.
64    * BUG 11789: s3:wscript: pylibsmb depends on pycredentials.
65    * BUG 11841: Fix NT_STATUS_ACCESS_DENIED when accessing Windows public share.
66    * BUG 11847: Only validate MIC if "map to guest" is not being used.
67    * BUG 11849: auth/ntlmssp: Add ntlmssp_{client,server}:force_old_spnego
68      option for testing.
69    * BUG 11850: NetAPP SMB servers don't negotiate NTLMSSP_SIGN.
70    * BUG 11858: Allow anonymous smb connections.
71    * BUG 11870: Fix ads_sasl_spnego_gensec_bind(KRB5).
72    * BUG 11872: Fix 'wbinfo -u' and 'net ads search'.
73
74
75 o  Jose A. Rivera <jarrpa@samba.org>
76    * BUG 11727: s3:smbd:open: Skip redundant call to file_set_dosmode when
77      creating a new file.
78
79
80 o  Andreas Schneider <asn@samba.org>
81    * BUG 11690: docs: Add smbspool_krb5_wrapper manpage.
82
83
84 o  Jorge Schrauwen <sjorge@blackdot.be>
85    * BUG 11816: configure: Don't check for inotify on illumos.
86
87
88 o  Martin Schwenke <martin@meltin.net>
89    * BUG 11719: ctdb-scripts: Drop use of "smbcontrol winbindd ip-dropped ...".
90
91
92 o  Uri Simchoni <uri@samba.org>
93    * BUG 11852: libads: Record session expiry for spnego sasl binds.
94
95
96 o  Hemanth Thummala <hemanth.thummala@nutanix.com>
97    * BUG 11708: loadparm: Fix memory leak issue.
98    * BUG 11740: Real memory leak(buildup) issue in loadparm.
99
100
101 o  Jelmer Vernooij <jelmer@jelmer.uk>
102    * BUG 11771: tevent: Only set public headers field when installing as a
103      public library.
104
105
106 #######################################
107 Reporting bugs & Development Discussion
108 #######################################
109
110 Please discuss this release on the samba-technical mailing list or by
111 joining the #samba-technical IRC channel on irc.freenode.net.
112
113 If you do report problems then please try to send high quality
114 feedback. If you don't provide vital information to help us track down
115 the problem then you will probably be ignored.  All bug reports should
116 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
117 database (https://bugzilla.samba.org/).
118
119
120 ======================================================================
121 == Our Code, Our Bugs, Our Responsibility.
122 == The Samba Team
123 ======================================================================
124
125
126 Release notes for older releases follow:
127 ----------------------------------------
128
129
130                    ==============================
131                    Release Notes for Samba 4.2.11
132                            April 12, 2016
133                    ==============================
134
135 This is a security release containing one additional
136 regression fix for the security release 4.2.10.
137
138 This fixes a regression that prevents things like 'net ads join'
139 from working against a Windows 2003 domain.
140
141 Changes since 4.2.10:
142 =====================
143
144 o  Stefan Metzmacher <metze@samba.org>
145    * Bug 11804 - prerequisite backports for the security release on
146      April 12th, 2016
147
148
149 ----------------------------------------------------------------------
150
151
152                    ==============================
153                    Release Notes for Samba 4.2.10
154                            April 12, 2016
155                    ==============================
156
157
158 This is a security release in order to address the following CVEs:
159
160 o  CVE-2015-5370 (Multiple errors in DCE-RPC code)
161
162 o  CVE-2016-2110 (Man in the middle attacks possible with NTLMSSP)
163
164 o  CVE-2016-2111 (NETLOGON Spoofing Vulnerability)
165
166 o  CVE-2016-2112 (LDAP client and server don't enforce integrity)
167
168 o  CVE-2016-2113 (Missing TLS certificate validation)
169
170 o  CVE-2016-2114 ("server signing = mandatory" not enforced)
171
172 o  CVE-2016-2115 (SMB IPC traffic is not integrity protected)
173
174 o  CVE-2016-2118 (SAMR and LSA man in the middle attacks possible)
175
176 The number of changes are rather huge for a security release,
177 compared to typical security releases.
178
179 Given the number of problems and the fact that they are all related
180 to man in the middle attacks we decided to fix them all at once
181 instead of splitting them.
182
183 In order to prevent the man in the middle attacks it was required
184 to change the (default) behavior for some protocols. Please see the
185 "New smb.conf options" and "Behavior changes" sections below.
186
187 =======
188 Details
189 =======
190
191 o  CVE-2015-5370
192
193    Versions of Samba from 3.6.0 to 4.4.0 inclusive are vulnerable to
194    denial of service attacks (crashes and high cpu consumption)
195    in the DCE-RPC client and server implementations. In addition,
196    errors in validation of the DCE-RPC packets can lead to a downgrade
197    of a secure connection to an insecure one.
198
199    While we think it is unlikely, there's a nonzero chance for
200    a remote code execution attack against the client components,
201    which are used by smbd, winbindd and tools like net, rpcclient and
202    others. This may gain root access to the attacker.
203
204    The above applies all possible server roles Samba can operate in.
205
206    Note that versions before 3.6.0 had completely different marshalling
207    functions for the generic DCE-RPC layer. It's quite possible that
208    that code has similar problems!
209
210    The downgrade of a secure connection to an insecure one may
211    allow an attacker to take control of Active Directory object
212    handles created on a connection created from an Administrator
213    account and re-use them on the now non-privileged connection,
214    compromising the security of the Samba AD-DC.
215
216 o  CVE-2016-2110:
217
218    There are several man in the middle attacks possible with
219    NTLMSSP authentication.
220
221    E.g. NTLMSSP_NEGOTIATE_SIGN and NTLMSSP_NEGOTIATE_SEAL
222    can be cleared by a man in the middle.
223
224    This was by protocol design in earlier Windows versions.
225
226    Windows Server 2003 RTM and Vista RTM introduced a way
227    to protect against the trivial downgrade.
228
229    See MsvAvFlags and flag 0x00000002 in
230    https://msdn.microsoft.com/en-us/library/cc236646.aspx
231
232    This new feature also implies support for a mechlistMIC
233    when used within SPNEGO, which may prevent downgrades
234    from other SPNEGO mechs, e.g. Kerberos, if sign or
235    seal is finally negotiated.
236
237    The Samba implementation doesn't enforce the existence of
238    required flags, which were requested by the application layer,
239    e.g. LDAP or SMB1 encryption (via the unix extensions).
240    As a result a man in the middle can take over the connection.
241    It is also possible to misguide client and/or
242    server to send unencrypted traffic even if encryption
243    was explicitly requested.
244
245    LDAP (with NTLMSSP authentication) is used as a client
246    by various admin tools of the Samba project,
247    e.g. "net", "samba-tool", "ldbsearch", "ldbedit", ...
248
249    As an active directory member server LDAP is also used
250    by the winbindd service when connecting to domain controllers.
251
252    Samba also offers an LDAP server when running as
253    active directory domain controller.
254
255    The NTLMSSP authentication used by the SMB1 encryption
256    is protected by smb signing, see CVE-2015-5296.
257
258 o  CVE-2016-2111:
259
260    It's basically the same as CVE-2015-0005 for Windows:
261
262      The NETLOGON service in Microsoft Windows Server 2003 SP2,
263      Windows Server 2008 SP2 and R2 SP1, and Windows Server 2012 Gold
264      and R2, when a Domain Controller is configured, allows remote
265      attackers to spoof the computer name of a secure channel's
266      endpoint, and obtain sensitive session information, by running a
267      crafted application and leveraging the ability to sniff network
268      traffic, aka "NETLOGON Spoofing Vulnerability".
269
270    The vulnerability in Samba is worse as it doesn't require
271    credentials of a computer account in the domain.
272
273    This only applies to Samba running as classic primary domain controller,
274    classic backup domain controller or active directory domain controller.
275
276    The security patches introduce a new option called "raw NTLMv2 auth"
277    ("yes" or "no") for the [global] section in smb.conf.
278    Samba (the smbd process) will reject client using raw NTLMv2
279    without using NTLMSSP.
280
281    Note that this option also applies to Samba running as
282    standalone server and member server.
283
284    You should also consider using "lanman auth = no" (which is already the default)
285    and "ntlm auth = no". Have a look at the smb.conf manpage for further details,
286    as they might impact compatibility with older clients. These also
287    apply for all server roles.
288
289 o  CVE-2016-2112:
290
291    Samba uses various LDAP client libraries, a builtin one and/or the system
292    ldap libraries (typically openldap).
293
294    As active directory domain controller Samba also provides an LDAP server.
295
296    Samba takes care of doing SASL (GSS-SPNEGO) authentication with Kerberos or NTLMSSP
297    for LDAP connections, including possible integrity (sign) and privacy (seal)
298    protection.
299
300    Samba has support for an option called "client ldap sasl wrapping" since version
301    3.2.0. Its default value has changed from "plain" to "sign" with version 4.2.0.
302
303    Tools using the builtin LDAP client library do not obey the
304    "client ldap sasl wrapping" option. This applies to tools like:
305    "samba-tool", "ldbsearch", "ldbedit" and more. Some of them have command line
306    options like "--sign" and "--encrypt". With the security update they will
307    also obey the "client ldap sasl wrapping" option as default.
308
309    In all cases, even if explicitly request via "client ldap sasl wrapping",
310    "--sign" or "--encrypt", the protection can be downgraded by a man in the
311    middle.
312
313    The LDAP server doesn't have an option to enforce strong authentication
314    yet. The security patches will introduce a new option called
315    "ldap server require strong auth", possible values are "no",
316    "allow_sasl_over_tls" and "yes".
317
318    As the default behavior was as "no" before, you may
319    have to explicitly change this option until all clients have
320    been adjusted to handle LDAP_STRONG_AUTH_REQUIRED errors.
321    Windows clients and Samba member servers already use
322    integrity protection.
323
324 o  CVE-2016-2113:
325
326    Samba has support for TLS/SSL for some protocols:
327    ldap and http, but currently certificates are not
328    validated at all. While we have a "tls cafile" option,
329    the configured certificate is not used to validate
330    the server certificate.
331
332    This applies to ldaps:// connections triggered by tools like:
333    "ldbsearch", "ldbedit" and more. Note that it only applies
334    to the ldb tools when they are built as part of Samba or with Samba
335    extensions installed, which means the Samba builtin LDAP client library is
336    used.
337
338    It also applies to dcerpc client connections using ncacn_http (with https://),
339    which are only used by the openchange project. Support for ncacn_http
340    was introduced in version 4.2.0.
341
342    The security patches will introduce a new option called
343    "tls verify peer". Possible values are "no_check", "ca_only",
344    "ca_and_name_if_available", "ca_and_name" and "as_strict_as_possible".
345
346    If you use the self-signed certificates which are auto-generated
347    by Samba, you won't have a crl file and need to explicitly
348    set "tls verify peer = ca_and_name".
349
350 o  CVE-2016-2114
351
352    Due to a regression introduced in Samba 4.0.0,
353    an explicit "server signing = mandatory" in the [global] section
354    of the smb.conf was not enforced for clients using the SMB1 protocol.
355
356    As a result it does not enforce smb signing and allows man in the middle attacks.
357
358    This problem applies to all possible server roles:
359    standalone server, member server, classic primary domain controller,
360    classic backup domain controller and active directory domain controller.
361
362    In addition, when Samba is configured with "server role = active directory domain controller"
363    the effective default for the "server signing" option should be "mandatory".
364
365    During the early development of Samba 4 we had a new experimental
366    file server located under source4/smb_server. But before
367    the final 4.0.0 release we switched back to the file server
368    under source3/smbd.
369
370    But the logic for the correct default of "server signing" was not
371    ported correctly ported.
372
373    Note that the default for server roles other than active directory domain
374    controller, is "off" because of performance reasons.
375
376 o  CVE-2016-2115:
377
378    Samba has an option called "client signing", this is turned off by default
379    for performance reasons on file transfers.
380
381    This option is also used when using DCERPC with ncacn_np.
382
383    In order to get integrity protection for ipc related communication
384    by default the "client ipc signing" option is introduced.
385    The effective default for this new option is "mandatory".
386
387    In order to be compatible with more SMB server implementations,
388    the following additional options are introduced:
389    "client ipc min protocol" ("NT1" by default) and
390    "client ipc max protocol" (the highest support SMB2/3 dialect by default).
391    These options overwrite the "client min protocol" and "client max protocol"
392    options, because the default for "client max protocol" is still "NT1".
393    The reason for this is the fact that all SMB2/3 support SMB signing,
394    while there are still SMB1 implementations which don't offer SMB signing
395    by default (this includes Samba versions before 4.0.0).
396
397    Note that winbindd (in versions 4.2.0 and higher) enforces SMB signing
398    against active directory domain controllers despite of the
399    "client signing" and "client ipc signing" options.
400
401 o  CVE-2016-2118 (a.k.a. BADLOCK):
402
403    The Security Account Manager Remote Protocol [MS-SAMR] and the
404    Local Security Authority (Domain Policy) Remote Protocol [MS-LSAD]
405    are both vulnerable to man in the middle attacks. Both are application level
406    protocols based on the generic DCE 1.1 Remote Procedure Call (DCERPC) protocol.
407
408    These protocols are typically available on all Windows installations
409    as well as every Samba server. They are used to maintain
410    the Security Account Manager Database. This applies to all
411    roles, e.g. standalone, domain member, domain controller.
412
413    Any authenticated DCERPC connection a client initiates against a server
414    can be used by a man in the middle to impersonate the authenticated user
415    against the SAMR or LSAD service on the server.
416
417    The client chosen application protocol, auth type (e.g. Kerberos or NTLMSSP)
418    and auth level (NONE, CONNECT, PKT_INTEGRITY, PKT_PRIVACY) do not matter
419    in this case. A man in the middle can change auth level to CONNECT
420    (which means authentication without message protection) and take over
421    the connection.
422
423    As a result, a man in the middle is able to get read/write access to the
424    Security Account Manager Database, which reveals all passwords
425    and any other potential sensitive information.
426
427    Samba running as an active directory domain controller is additionally
428    missing checks to enforce PKT_PRIVACY for the
429    Directory Replication Service Remote Protocol [MS-DRSR] (drsuapi)
430    and the BackupKey Remote Protocol [MS-BKRP] (backupkey).
431    The Domain Name Service Server Management Protocol [MS-DNSP] (dnsserver)
432    is not enforcing at least PKT_INTEGRITY.
433
434 ====================
435 New smb.conf options
436 ====================
437
438   allow dcerpc auth level connect (G)
439
440     This option controls whether DCERPC services are allowed to be used with
441     DCERPC_AUTH_LEVEL_CONNECT, which provides authentication, but no per
442     message integrity nor privacy protection.
443
444     Some interfaces like samr, lsarpc and netlogon have a hard-coded default
445     of no and epmapper, mgmt and rpcecho have a hard-coded default of yes.
446
447     The behavior can be overwritten per interface name (e.g. lsarpc,
448     netlogon, samr, srvsvc, winreg, wkssvc ...) by using
449     'allow dcerpc auth level connect:interface = yes' as option.
450
451     This option yields precedence to the implementation specific restrictions.
452     E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY.
453     The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY.
454
455     Default: allow dcerpc auth level connect = no
456
457     Example: allow dcerpc auth level connect = yes
458
459   client ipc signing (G)
460
461     This controls whether the client is allowed or required to use
462     SMB signing for IPC$ connections as DCERPC transport. Possible
463     values are auto, mandatory and disabled.
464
465     When set to mandatory or default, SMB signing is required.
466
467     When set to auto, SMB signing is offered, but not enforced and
468     if set to disabled, SMB signing is not offered either.
469
470     Connections from winbindd to Active Directory Domain Controllers
471     always enforce signing.
472
473     Default: client ipc signing = default
474
475   client ipc max protocol (G)
476
477     The value of the parameter (a string) is the highest protocol level that will
478     be supported for IPC$ connections as DCERPC transport.
479
480     Normally this option should not be set as the automatic negotiation phase
481     in the SMB protocol takes care of choosing the appropriate protocol.
482
483     The value default refers to the latest supported protocol, currently SMB3_11.
484
485     See client max protocol for a full list of available protocols.
486     The values CORE, COREPLUS, LANMAN1, LANMAN2 are silently upgraded to NT1.
487
488     Default: client ipc max protocol = default
489
490     Example: client ipc max protocol = SMB2_10
491
492   client ipc min protocol (G)
493
494     This setting controls the minimum protocol version that the will be
495     attempted to use for IPC$ connections as DCERPC transport.
496
497     Normally this option should not be set as the automatic negotiation phase
498     in the SMB protocol takes care of choosing the appropriate protocol.
499
500     The value default refers to the higher value of NT1 and the
501     effective value of "client min protocol".
502
503     See client max protocol for a full list of available protocols.
504     The values CORE, COREPLUS, LANMAN1, LANMAN2 are silently upgraded to NT1.
505
506     Default: client ipc min protocol = default
507
508     Example: client ipc min protocol = SMB3_11
509
510   ldap server require strong auth (G)
511
512     The ldap server require strong auth defines whether the
513     ldap server requires ldap traffic to be signed or
514     signed and encrypted (sealed). Possible values are no,
515     allow_sasl_over_tls and yes.
516
517     A value of no allows simple and sasl binds over all transports.
518
519     A value of allow_sasl_over_tls allows simple and sasl binds (without sign or seal)
520     over TLS encrypted connections. Unencrypted connections only
521     allow sasl binds with sign or seal.
522
523     A value of yes allows only simple binds over TLS encrypted connections.
524     Unencrypted connections only allow sasl binds with sign or seal.
525
526     Default: ldap server require strong auth = yes
527
528   raw NTLMv2 auth (G)
529
530     This parameter determines whether or not smbd(8) will allow SMB1 clients
531     without extended security (without SPNEGO) to use NTLMv2 authentication.
532
533     If this option, lanman auth and ntlm auth are all disabled, then only
534     clients with SPNEGO support will be permitted. That means NTLMv2 is only
535     supported within NTLMSSP.
536
537     Default: raw NTLMv2 auth = no
538
539   tls verify peer (G)
540
541     This controls if and how strict the client will verify the peer's
542     certificate and name. Possible values are (in increasing order): no_check,
543     ca_only, ca_and_name_if_available, ca_and_name and as_strict_as_possible.
544
545     When set to no_check the certificate is not verified at all,
546     which allows trivial man in the middle attacks.
547
548     When set to ca_only the certificate is verified to be signed from a ca
549     specified in the "tls ca file" option. Setting "tls ca file" to a valid file
550     is required. The certificate lifetime is also verified. If the "tls crl file"
551     option is configured, the certificate is also verified against
552     the ca crl.
553
554     When set to ca_and_name_if_available all checks from ca_only are performed.
555     In addition, the peer hostname is verified against the certificate's
556     name, if it is provided by the application layer and not given as
557     an ip address string.
558
559     When set to ca_and_name all checks from ca_and_name_if_available are performed.
560     In addition the peer hostname needs to be provided and even an ip
561     address is checked against the certificate's name.
562
563     When set to as_strict_as_possible all checks from ca_and_name are performed.
564     In addition the "tls crl file" needs to be configured. Future versions
565     of Samba may implement additional checks.
566
567     Default: tls verify peer = as_strict_as_possible
568
569   tls priority (G) (backported from Samba 4.3 to Samba 4.2)
570
571     This option can be set to a string describing the TLS protocols to be
572     supported in the parts of Samba that use GnuTLS, specifically the AD DC.
573
574     The default turns off SSLv3, as this protocol is no longer considered
575     secure after CVE-2014-3566 (otherwise known as POODLE) impacted SSLv3 use
576     in HTTPS applications.
577
578     The valid options are described in the GNUTLS Priority-Strings
579     documentation at http://gnutls.org/manual/html_node/Priority-Strings.html
580
581     Default: tls priority = NORMAL:-VERS-SSL3.0
582
583 ================
584 Behavior changes
585 ================
586
587 o  The default auth level for authenticated binds has changed from
588    DCERPC_AUTH_LEVEL_CONNECT to DCERPC_AUTH_LEVEL_INTEGRITY.
589    That means ncacn_ip_tcp:server is now implicitly the same
590    as ncacn_ip_tcp:server[sign] and offers a similar protection
591    as ncacn_np:server, which relies on smb signing.
592
593 o  The following constraints are applied to SMB1 connections:
594
595    - "client lanman auth = yes" is now consistently
596      required for authenticated connections using the
597      SMB1 LANMAN2 dialect.
598    - "client ntlmv2 auth = yes" and "client use spnego = yes"
599      (both the default values), require extended security (SPNEGO)
600      support from the server. That means NTLMv2 is only used within
601      NTLMSSP.
602
603 o  Tools like "samba-tool", "ldbsearch", "ldbedit" and more obey the
604    default of "client ldap sasl wrapping = sign". Even with
605    "client ldap sasl wrapping = plain" they will automatically upgrade
606    to "sign" when getting LDAP_STRONG_AUTH_REQUIRED from the LDAP
607    server.
608
609 Changes since 4.2.9:
610 ====================
611
612 o  Jeremy Allison <jra@samba.org>
613    * Bug 11344 - CVE-2015-5370: Multiple errors in DCE-RPC code.
614
615    * Bug 11804 - prerequisite backports for the security release on
616      April 12th, 2016.
617
618 o  Christian Ambach <ambi@samba.org>
619    * Bug 11804 - prerequisite backports for the security release on
620      April 12th, 2016.
621
622 o  Andrew Bartlett <abartlet@samba.org>
623    * Bug 11804 - prerequisite backports for the security release on
624      April 12th, 2016.
625
626 o  Ralph Boehme <slow@samba.org>
627    * Bug 11644 - CVE-2016-2112: The LDAP client and server don't enforce
628      integrity protection.
629
630 o  Günther Deschner <gd@samba.org>
631    * Bug 11749 - CVE-2016-2111: NETLOGON Spoofing Vulnerability.
632
633    * Bug 11804 - prerequisite backports for the security release on
634      April 12th, 2016.
635
636 o  Björn Jacke <bj@sernet.de>
637    * Bug 11804 - prerequisite backports for the security release on
638      April 12th, 2016.
639
640 o  Volker Lendecke <vl@samba.org>
641    * Bug 11804 - prerequisite backports for the security release on
642      April 12th, 2016.
643
644 o  Kamen Mazdrashki <kamenim@samba.org>
645    * Bug 11804 - prerequisite backports for the security release on
646      April 12th, 2016.
647
648 o  Stefan Metzmacher <metze@samba.org>
649    * Bug 11344 - CVE-2015-5370: Multiple errors in DCE-RPC code.
650
651    * Bug 11616 - CVE-2016-2118: SAMR and LSA man in the middle attacks possible.
652
653    * Bug 11644 - CVE-2016-2112: The LDAP client and server doesn't enforce
654      integrity protection.
655
656    * Bug 11687 - CVE-2016-2114: "server signing = mandatory" not enforced.
657
658    * Bug 11688 - CVE-2016-2110: Man in the middle attacks possible with NTLMSSP.
659
660    * Bug 11749 - CVE-2016-2111: NETLOGON Spoofing Vulnerability.
661
662    * Bug 11752 - CVE-2016-2113: Missing TLS certificate validation allows man in
663      the middle attacks.
664
665    * Bug 11756 - CVE-2016-2115: SMB client connections for IPC traffic are not
666      integrity protected.
667
668    * Bug 11804 - prerequisite backports for the security release on
669      April 12th, 2016.
670
671 o  Richard Sharpe <rsharpe@samba.org>
672    * Bug 11804 - prerequisite backports for the security release on
673      April 12th, 2016.
674
675 o  Andreas Schneider <asn@samba.org>
676    * Bug 11804 - prerequisite backports for the security release on
677      April 12th, 2016.
678
679 o  Jelmer Vernooij <jelmer@samba.org>
680    * Bug 11804 - prerequisite backports for the security release on
681      April 12th, 2016.
682
683
684 #######################################
685 Reporting bugs & Development Discussion
686 #######################################
687
688 Please discuss this release on the samba-technical mailing list or by
689 joining the #samba-technical IRC channel on irc.freenode.net.
690
691 If you do report problems then please try to send high quality
692 feedback. If you don't provide vital information to help us track down
693 the problem then you will probably be ignored.  All bug reports should
694 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
695 database (https://bugzilla.samba.org/).
696
697
698 ======================================================================
699 == Our Code, Our Bugs, Our Responsibility.
700 == The Samba Team
701 ======================================================================
702
703                    =============================
704                    Release Notes for Samba 4.2.9
705                            March 8, 2016
706                    =============================
707
708
709 This is a security release in order to address the following CVEs:
710
711 o  CVE-2015-7560 (Incorrect ACL get/set allowed on symlink path)
712 o  CVE-2016-0771 (Out-of-bounds read in internal DNS server)
713
714 =======
715 Details
716 =======
717
718 o  CVE-2015-7560:
719    All versions of Samba from 3.2.0 to 4.4.0rc3 inclusive are vulnerable to
720    a malicious client overwriting the ownership of ACLs using symlinks.
721
722    An authenticated malicious client can use SMB1 UNIX extensions to
723    create a symlink to a file or directory, and then use non-UNIX SMB1
724    calls to overwrite the contents of the ACL on the file or directory
725    linked to.
726
727 o  CVE-2016-0771:
728    All versions of Samba from 4.0.0 to 4.4.0rc3 inclusive, when deployed as
729    an AD DC and choose to run the internal DNS server, are vulnerable to an
730    out-of-bounds read issue during DNS TXT record handling caused by users
731    with permission to modify DNS records.
732
733    A malicious client can upload a specially constructed DNS TXT record,
734    resulting in a remote denial-of-service attack. As long as the affected
735    TXT record remains undisturbed in the Samba database, a targeted DNS
736    query may continue to trigger this exploit.
737
738    While unlikely, the out-of-bounds read may bypass safety checks and
739    allow leakage of memory from the server in the form of a DNS TXT reply.
740
741    By default only authenticated accounts can upload DNS records,
742    as "allow dns updates = secure only" is the default.
743    Any other value would allow anonymous clients to trigger this
744    bug, which is a much higher risk.
745
746
747 Changes since 4.2.8:
748 --------------------
749
750 o  Jeremy Allison <jra@samba.org>
751    * BUG 11648: CVE-2015-7560: Getting and setting Windows ACLs on symlinks can
752      change permissions on link target.
753
754 o  Garming Sam <garming@catalyst.net.nz>
755    * BUGs 11128, 11686: CVE-2016-0771: Read of uninitialized memory DNS TXT
756      handling.
757
758 o  Stefan Metzmacher <metze@samba.org>
759    * BUGs 11128, 11686: CVE-2016-0771: Read of uninitialized memory DNS TXT
760      handling.
761
762
763 #######################################
764 Reporting bugs & Development Discussion
765 #######################################
766
767 Please discuss this release on the samba-technical mailing list or by
768 joining the #samba-technical IRC channel on irc.freenode.net.
769
770 If you do report problems then please try to send high quality
771 feedback. If you don't provide vital information to help us track down
772 the problem then you will probably be ignored.  All bug reports should
773 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
774 database (https://bugzilla.samba.org/).
775
776
777 ======================================================================
778 == Our Code, Our Bugs, Our Responsibility.
779 == The Samba Team
780 ======================================================================
781
782
783 ----------------------------------------------------------------------
784
785
786                    =============================
787                    Release Notes for Samba 4.2.8
788                           February 2, 2016
789                    =============================
790
791
792 This is the latest stable release of Samba 4.2.
793
794
795 Changes since 4.2.7:
796 --------------------
797
798 o  Michael Adam <obnox@samba.org>
799    * BUG 11647: s3:smbd: Fix a corner case of the symlink verification.
800
801
802 o  Jeremy Allison <jra@samba.org>
803    * BUG 11624: s3: libsmb: Correctly initialize the list head when keeping a
804      list of primary followed by DFS connections.
805    * BUG 11625: Reduce the memory footprint of empty string options.
806
807
808 o  Christian Ambach <ambi@samba.org>
809    * BUG 11400: s3:smbd/oplock: Obey kernel oplock setting when releasing
810      oplocks.
811
812
813 o  Ralph Boehme <slow@samba.org>
814    * BUG 11065: vfs_fruit: Fix renaming directories with open files.
815    * BUG 11347: Fix MacOS finder error 36 when copying folder to Samba.
816    * BUG 11466: Fix copying files with vfs_fruit when using vfs_streams_xattr
817      without stream prefix and type suffix.
818    * BUG 11645: smbd: make "hide dot files" option work with "store dos
819      attributes = yes".
820    * BUG 11684: s3:smbd: Ignore initial allocation size for directory creation.
821
822
823 o  Günther Deschner <gd@samba.org>
824    * BUG 11639: lib/async_req: Do not install async_connect_send_test.
825
826
827 o  Karolin Seeger <kseeger@samba.org>
828    * BUG 11641: docs: Fix typos in man vfs_gpfs.
829
830
831 o  Uri Simchoni <uri@samba.org>
832    * BUG 11682: smbcacls: Fix uninitialized variable.
833
834
835 #######################################
836 Reporting bugs & Development Discussion
837 #######################################
838
839 Please discuss this release on the samba-technical mailing list or by
840 joining the #samba-technical IRC channel on irc.freenode.net.
841
842 If you do report problems then please try to send high quality
843 feedback. If you don't provide vital information to help us track down
844 the problem then you will probably be ignored.  All bug reports should
845 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
846 database (https://bugzilla.samba.org/).
847
848
849 ======================================================================
850 == Our Code, Our Bugs, Our Responsibility.
851 == The Samba Team
852 ======================================================================
853
854
855 ----------------------------------------------------------------------
856
857
858                    =============================
859                    Release Notes for Samba 4.2.7
860                          December 16, 2015
861                    =============================
862
863
864 This is a security release in order to address the following CVEs:
865
866 o  CVE-2015-3223 (Denial of service in Samba Active Directory
867                   server)
868 o  CVE-2015-5252 (Insufficient symlink verification in smbd)
869 o  CVE-2015-5299 (Missing access control check in shadow copy
870                   code)
871 o  CVE-2015-5296 (Samba client requesting encryption vulnerable
872                   to downgrade attack)
873 o  CVE-2015-8467 (Denial of service attack against Windows
874                   Active Directory server)
875 o  CVE-2015-5330 (Remote memory read in Samba LDAP server)
876
877 Please note that if building against a system libldb, the required
878 version has been bumped to ldb-1.1.24.  This is needed to ensure
879 we build against a system ldb library that contains the fixes
880 for CVE-2015-5330 and CVE-2015-3223.
881
882 =======
883 Details
884 =======
885
886 o  CVE-2015-3223:
887    All versions of Samba from 4.0.0 to 4.3.2 inclusive (resp. all
888    ldb versions up to 1.1.23 inclusive) are vulnerable to
889    a denial of service attack in the samba daemon LDAP server.
890
891    A malicious client can send packets that cause the LDAP server in the
892    samba daemon process to become unresponsive, preventing the server
893    from servicing any other requests.
894
895    This flaw is not exploitable beyond causing the code to loop expending
896    CPU resources.
897
898 o  CVE-2015-5252:
899    All versions of Samba from 3.0.0 to 4.3.2 inclusive are vulnerable to
900    a bug in symlink verification, which under certain circumstances could
901    allow client access to files outside the exported share path.
902
903    If a Samba share is configured with a path that shares a common path
904    prefix with another directory on the file system, the smbd daemon may
905    allow the client to follow a symlink pointing to a file or directory
906    in that other directory, even if the share parameter "wide links" is
907    set to "no" (the default).
908
909 o  CVE-2015-5299:
910    All versions of Samba from 3.2.0 to 4.3.2 inclusive are vulnerable to
911    a missing access control check in the vfs_shadow_copy2 module. When
912    looking for the shadow copy directory under the share path the current
913    accessing user should have DIRECTORY_LIST access rights in order to
914    view the current snapshots.
915
916    This was not being checked in the affected versions of Samba.
917
918 o  CVE-2015-5296:
919    Versions of Samba from 3.2.0 to 4.3.2 inclusive do not ensure that
920    signing is negotiated when creating an encrypted client connection to
921    a server.
922
923    Without this a man-in-the-middle attack could downgrade the connection
924    and connect using the supplied credentials as an unsigned, unencrypted
925    connection.
926
927 o  CVE-2015-8467:
928    Samba, operating as an AD DC, is sometimes operated in a domain with a
929    mix of Samba and Windows Active Directory Domain Controllers.
930
931    All versions of Samba from 4.0.0 to 4.3.2 inclusive, when deployed as
932    an AD DC in the same domain with Windows DCs, could be used to
933    override the protection against the MS15-096 / CVE-2015-2535 security
934    issue in Windows.
935
936    Prior to MS16-096 it was possible to bypass the quota of machine
937    accounts a non-administrative user could create.  Pure Samba domains
938    are not impacted, as Samba does not implement the
939    SeMachineAccountPrivilege functionality to allow non-administrator
940    users to create new computer objects.
941
942 o  CVE-2015-5330:
943    All versions of Samba from 4.0.0 to 4.3.2 inclusive (resp. all
944    ldb versions up to 1.1.23 inclusive) are vulnerable to
945    a remote memory read attack in the samba daemon LDAP server.
946
947    A malicious client can send packets that cause the LDAP server in the
948    samba daemon process to return heap memory beyond the length of the
949    requested value.
950
951    This memory may contain data that the client should not be allowed to
952    see, allowing compromise of the server.
953
954    The memory may either be returned to the client in an error string, or
955    stored in the database by a suitabily privileged user.  If untrusted
956    users can create objects in your database, please confirm that all DN
957    and name attributes are reasonable.
958
959
960 Changes since 4.2.6:
961 --------------------
962
963 o  Andrew Bartlett <abartlet@samba.org>
964    * BUG 11552: CVE-2015-8467: samdb: Match MS15-096 behaviour for
965      userAccountControl.
966
967 o  Jeremy Allison <jra@samba.org>
968    * BUG 11325: CVE-2015-3223: Fix LDAP \00 search expression attack DoS.
969    * BUG 11395: CVE-2015-5252: Fix insufficient symlink verification (file
970      access outside the share).
971    * BUG 11529: CVE-2015-5299: s3-shadow-copy2: Fix missing access check on
972      snapdir.
973
974 o  Douglas Bagnall <douglas.bagnall@catalyst.net.nz>
975    * BUG 11599: CVE-2015-5330: Fix remote read memory exploit in LDB.
976
977 o  Stefan Metzmacher <metze@samba.org>
978    * BUG 11536: CVE-2015-5296: Add man in the middle protection when forcing
979      smb encryption on the client side.
980
981
982 #######################################
983 Reporting bugs & Development Discussion
984 #######################################
985
986 Please discuss this release on the samba-technical mailing list or by
987 joining the #samba-technical IRC channel on irc.freenode.net.
988
989 If you do report problems then please try to send high quality
990 feedback. If you don't provide vital information to help us track down
991 the problem then you will probably be ignored.  All bug reports should
992 be filed under the "Samba 4.1 and newer" product in the project's Bugzilla
993 database (https://bugzilla.samba.org/).
994
995
996 ======================================================================
997 == Our Code, Our Bugs, Our Responsibility.
998 == The Samba Team
999 ======================================================================
1000
1001
1002 ----------------------------------------------------------------------
1003
1004
1005                    =============================
1006                    Release Notes for Samba 4.2.6
1007                          December 08, 2015
1008                    =============================
1009
1010
1011 This is the latest stable release of Samba 4.2.
1012
1013
1014 Changes since 4.2.5:
1015 --------------------
1016
1017 o   Michael Adam <obnox@samba.org>
1018     * BUG 11365: ctdb: Strip trailing spaces from nodes file.
1019     * BUG 11577: ctdb: Open the RO tracking db with perms 0600 instead of 0000.
1020     * BUG 11619: doc: Fix a typo in the smb.conf manpage.
1021
1022
1023 o   Jeremy Allison <jra@samba.org>
1024     * BUG 11452: s3-smbd: Fix old DOS client doing wildcard delete - gives a
1025       attribute type of zero.
1026     * BUG 11565: auth: gensec: Fix a memory leak.
1027     * BUG 11566: lib: util: Make non-critical message a warning.
1028     * BUG 11589: s3: smbd: If EA's are turned off on a share don't allow an SMB2
1029       create containing them.
1030     * BUG 11615: s3: smbd: have_file_open_below() fails to enumerate open files
1031       below an open directory handle.
1032
1033
1034 o   Ralph Boehme <slow@samba.org>
1035     * BUG 11564: async_req: Fix non-blocking connect().
1036
1037
1038 o   Volker Lendecke <vl@samba.org>
1039     * BUG 11243: vfs_gpfs: Re-enable share modes.
1040     * BUG 11570: smbd: Send SMB2 oplock breaks unencrypted.
1041
1042
1043 o   YvanM <yvan.masson@openmailbox.org>
1044     * BUG 11584: manpage: Correct small typo error.
1045
1046
1047 o   Marc Muehlfeld <mmuehlfeld@samba.org>
1048     * BUG 9912: Changing log level of two entries to from 1 to 3.
1049
1050
1051 o   Andreas Schneider <asn@samba.org>
1052     * BUG 11346: wafsamba: Also build libraries with RELRO protection.
1053     * BUG 11563: nss_wins: Do not run into use after free issues when we access
1054       memory allocated on the globals and the global being reinitialized.
1055
1056
1057 o   Karolin Seeger <kseeger@samba.org>
1058     * BUG 11619: docs: Fix some typos in the idmap config section of man 5
1059       smb.conf.
1060
1061
1062 o   Noel Power <noel.power@suse.com>
1063     * BUG 11569: Fix winbindd crashes with samlogon for trusted domain user.
1064     * BUG 11597: Backport some valgrind fixes from upstream master.
1065
1066
1067 #######################################
1068 Reporting bugs & Development Discussion
1069 #######################################
1070
1071 Please discuss this release on the samba-technical mailing list or by
1072 joining the #samba-technical IRC channel on irc.freenode.net.
1073
1074 If you do report problems then please try to send high quality
1075 feedback. If you don't provide vital information to help us track down
1076 the problem then you will probably be ignored.  All bug reports should
1077 be filed under the Samba 4.2 product in the project's Bugzilla
1078 database (https://bugzilla.samba.org/).
1079
1080
1081 ======================================================================
1082 == Our Code, Our Bugs, Our Responsibility.
1083 == The Samba Team
1084 ======================================================================
1085
1086
1087 ----------------------------------------------------------------------
1088
1089
1090                    =============================
1091                    Release Notes for Samba 4.2.5
1092                          October 27, 2015
1093                    =============================
1094
1095
1096 This is the latest stable release of Samba 4.2.
1097
1098
1099 Changes since 4.2.4:
1100 --------------------
1101
1102 o   Jeremy Allison <jra@samba.org>
1103     * BUG 10252: s3: smbd: Fix our access-based enumeration on "hide unreadable"
1104       to match Windows.
1105     * BUG 10634: smbd: Fix file name buflen and padding in notify repsonse.
1106     * BUG 11486: s3: smbd: Fix mkdir race condition.
1107     * BUG 11522: s3: smbd: Fix opening/creating :stream files on the root share
1108       directory.
1109     * BUG 11535: s3: smbd: Fix NULL pointer bug introduced by previous 'raw'
1110       stream fix (bug #11522).
1111     * BUG 11555: s3: lsa: lookup_name() logic for unqualified (no DOMAIN\
1112       component) names is incorrect.
1113
1114
1115 o   Ralph Boehme <slow@samba.org>
1116     * BUG 11535: s3: smbd: Fix a crash in unix_convert().
1117     * BUG 11543: vfs_fruit: Return value of ad_pack in vfs_fruit.c.
1118     * BUG 11549: Fix bug in smbstatus where the lease info is not printed.
1119     * BUG 11550: s3:smbstatus: Add stream name to share_entry_forall().
1120     * BUG 11555: s3:lib: validate domain name in lookup_wellknown_name().
1121
1122
1123 o   Günther Deschner <gd@samba.org>
1124     * BUG 11038: kerberos: Make sure we only use prompter type when available.
1125
1126
1127 o   Björn Jacke <bj@sernet.de>
1128     * BUG 10365: nss_winbind: Fix hang on Solaris on big groups.
1129     * BUG 11355: build: Use as-needed linker flag also on OpenBSD.
1130
1131
1132 o   Volker Lendecke <vl@samba.org>
1133     * BUG 11038: winbind: Fix 100% loop.
1134     * BUG 11381: Fix a deadlock in tdb.
1135
1136
1137 o   Stefan Metzmacher <metze@samba.org>
1138     * BUG 11316: s3:ctdbd_conn: Make sure we destroy tevent_fd before closing
1139       the socket.
1140     * BUG 11327: dcerpc.idl: accept invalid dcerpc_bind_nak pdus.
1141
1142
1143 o   Har Gagan Sahai <SHarGagan@novell.com>
1144     * BUG 11509: s3: dfs: Fix a crash when the dfs targets are disabled.
1145
1146
1147 o   Andreas Schneider <asn@samba.org>
1148     * BUG 11502: pam_winbind: Fix a segfault if initialization fails.
1149
1150
1151 o   Uri Simchoni <uri@samba.org>
1152     * BUG 11528: net: Fix a crash with 'net ads keytab create'.
1153     * BUG 11547: vfs_commit: Set the fd on open before calling SMB_VFS_FSTAT.
1154
1155
1156 #######################################
1157 Reporting bugs & Development Discussion
1158 #######################################
1159
1160 Please discuss this release on the samba-technical mailing list or by
1161 joining the #samba-technical IRC channel on irc.freenode.net.
1162
1163 If you do report problems then please try to send high quality
1164 feedback. If you don't provide vital information to help us track down
1165 the problem then you will probably be ignored.  All bug reports should
1166 be filed under the Samba 4.2 product in the project's Bugzilla
1167 database (https://bugzilla.samba.org/).
1168
1169
1170 ======================================================================
1171 == Our Code, Our Bugs, Our Responsibility.
1172 == The Samba Team
1173 ======================================================================
1174
1175
1176 ----------------------------------------------------------------------
1177
1178
1179                    =============================
1180                    Release Notes for Samba 4.2.4
1181                          September 8, 2015
1182                    =============================
1183
1184
1185 This is the latest stable release of Samba 4.2.
1186
1187
1188 Changes since 4.2.3:
1189 --------------------
1190
1191 o   Michael Adam <obnox@samba.org>
1192     * BUG 11372: smbd: Fix SMB3 functionality of "smb encrypt".
1193
1194
1195 o   Jeremy Allison <jra@samba.org>
1196     * BUG 11359: lib: replace: Add strsep function (missing on Solaris).
1197
1198
1199 o   Ralph Boehme <slow@samba.org>
1200     * BUG 11278: Fix stream names with colon with "fruit:encoding = native".
1201     * BUG 11317: vfs:fruit: Implement copyfile style copy_chunk.
1202     * BUG 11426: s3-net: Use talloc array in share allowedusers.
1203     * BUG 11467: vfs_fruit: Handling of empty resource fork.
1204
1205
1206 o   Alexander Bokovoy <ab@samba.org>
1207     * BUG 11265: auth/credentials: If credentials have principal set, they are
1208       not anonymous anymore.
1209
1210
1211 o   Günther Deschner <gd@samba.org>
1212     * BUG 11373: s3-smbd: Reset protocol in smbXsrv_connection_init_tables
1213       failure paths.
1214
1215
1216 o   Amitay Isaacs <amitay@gmail.com>
1217     * BUG 11398: ctdb-daemon: Return correct sequence number for
1218       CONTROL_GET_DB_SEQNUM.
1219     * BUG 11431: ctdb-daemon: Improve error handling for running event scripts.
1220
1221
1222 o   Volker Lendecke <vl@samba.org>
1223     * BUG 11316: lib: Fix rundown of open_socket_out().
1224     * BUG 11488: Avoid quoting problems in user's DNs.
1225
1226
1227 o   Justin Maggard <jmaggard@netgear.com>
1228     * BUG 11320: s3-passdb: Respect LOOKUP_NAME_GROUP flag in sid lookup.
1229
1230
1231 o   Roel van Meer <roel@1afa.com>
1232     * BUG 11427: s3-util: Compare the maximum allowed length of a NetBIOS name.
1233
1234
1235 o   Stefan Metzmacher <metze@samba.org>
1236     * BUG 11316: s3:lib: Fix some corner cases of open_socket_out_cleanup().
1237     * BUG 11454: Backport dcesrv_netr_DsRGetDCNameEx2 fixes.
1238
1239
1240 o   Anubhav Rakshit <anubhav.rakshit@gmail.com>
1241     * BUG 11361: s3:libsmb: Fix a bug in conversion of ea list to ea array.
1242
1243
1244 o   Arvid Requate <requate@univention.de>
1245     * BUG 11291: s4:rpc_server/netlogon: Fix for NetApp.
1246
1247
1248 o   Andreas Schneider <asn@samba.org>
1249     * BUG 9862: s3-auth: Fix "map to guest = Bad uid".
1250     * BUG 11403: s3-smbd: Leave sys_disk_free() if dfree command is used.
1251     * BUG 11404: s3-auth: Fix a possible null pointer dereference.
1252
1253
1254 o   Martin Schwenke <martin@meltin.net>
1255     * BUG 11399: ctdb-scripts: Support monitoring of interestingly named VLANs
1256       on bonds.
1257     * BUG 11432: ctdb-daemon: Check if updates are in flight when releasing all
1258       IPs.
1259     * BUG 11435: ctdb-build: Fix building of PCP PMDA module.
1260
1261
1262 o   Wei Zhong <wweyeww@gmail.com>
1263     * BUG 10823: s3: winbindd: Fix TALLOC_FREE of uninitialized groups variable.
1264
1265
1266 #######################################
1267 Reporting bugs & Development Discussion
1268 #######################################
1269
1270 Please discuss this release on the samba-technical mailing list or by
1271 joining the #samba-technical IRC channel on irc.freenode.net.
1272
1273 If you do report problems then please try to send high quality
1274 feedback. If you don't provide vital information to help us track down
1275 the problem then you will probably be ignored.  All bug reports should
1276 be filed under the Samba 4.2 product in the project's Bugzilla
1277 database (https://bugzilla.samba.org/).
1278
1279
1280 ======================================================================
1281 == Our Code, Our Bugs, Our Responsibility.
1282 == The Samba Team
1283 ======================================================================
1284
1285
1286 ----------------------------------------------------------------------
1287
1288
1289                    =============================
1290                    Release Notes for Samba 4.2.3
1291                            July 14, 2015
1292                    =============================
1293
1294
1295 This is the latest stable release of Samba 4.2.
1296
1297
1298 Changes since 4.2.2:
1299 --------------------
1300
1301 o   Michael Adam <obnox@samba.org>
1302     * BUG 11366: docs: Overhaul the description of "smb encrypt" to include SMB3
1303       encryption.
1304
1305
1306 o   Jeremy Allison <jra@samba.org>
1307     * BUG 11068: s3: lib: util: Ensure we read a hex number as %x, not %u.
1308     * BUG 11295: Excessive cli_resolve_path() usage can slow down transmission.
1309     * BUG 11328: winbindd: winbindd_raw_kerberos_login - ensure logon_info
1310       exists in PAC.
1311     * BUG 11339: s3: smbd: Use separate flag to track
1312       become_root()/unbecome_root() state.
1313     * BUG 11342: s3: smbd: Codenomicon crash in do_smb_load_module().
1314
1315
1316 o   Christian Ambach <ambi@samba.org>
1317     * BUG 11170: s3:param/loadparm: Fix 'testparm --show-all-parameters'.
1318
1319
1320 o   Andrew Bartlett <abartlet@samba.org>
1321     * BUG 10991: winbindd: Sync secrets.ldb into secrets.tdb on startup.
1322
1323
1324 o   Ralph Boehme <slow@samba.org>
1325     * BUG 11277: s3:smb2: Add padding to last command in compound requests.
1326     * BUG 11305: vfs_fruit: Add option "veto_appledouble".
1327     * BUG 11323: smbd/trans2: Add a useful diagnostic for files with bad
1328       encoding.
1329     * BUG 11363: vfs_fruit: Check offset and length for AFP_AfpInfo read
1330       requests.
1331     * BUG 11371: ncacn_http: Fix GNUism.
1332
1333
1334 o   Günther Deschner <gd@samba.org>
1335     * BUG 11245: s3-rpc_server: Fix rpc_create_tcpip_sockets() processing of
1336       interfaces.
1337
1338
1339 o   Alexander Drozdov <al.drozdov@gmail.com>
1340     * BUG 11331: tdb: version 1.3.5: ABI change: tdb_chainlock_read_nonblock()
1341       has been added.
1342
1343
1344 o   Evangelos Foutras <evangelos@foutrelis.com>
1345     * BUG 8780: s4:lib/tls: Fix build with gnutls 3.4.
1346
1347
1348 o   David Holder <david.holder@erion.co.uk>
1349     * BUG 11281: Add IPv6 support to ADS client side LDAP connects.
1350     * BUG 11282: Add IPv6 support for determining FQDN during ADS join.
1351     * BUG 11283: s3: IPv6 enabled DNS connections for ADS client.
1352
1353
1354 o   Steve Howells <steve.howells@moscowfirst.com>
1355     * BUG 10924: s4.2/fsmo.py: Fixed fsmo transfer exception.
1356
1357
1358 o   Amitay Isaacs <amitay@gmail.com>
1359     * BUG 11293: Fix invalid write in ctdb_lock_context_destructor.
1360
1361
1362 o   Volker Lendecke <vl@samba.org>
1363     * BUG 11218: smbd: Fix a use-after-free.
1364     * BUG 11312: tstream: Make socketpair nonblocking.
1365     * BUG 11330: tevent: Fix CID 1035381 Unchecked return value.
1366     * BUG 11331: tdb: Fix CID 1034842 and 1034841 Resource leaks.
1367
1368
1369 o   Stefan Metzmacher <metze@samba.org>
1370     * BUG 11061: Logon via MS Remote Desktop hangs.
1371     * BUG 11141: tevent: Add a note to tevent_add_fd().
1372     * BUG 11293: Fix invalid write in ctdb_lock_context_destructor.
1373     * BUG 11316: tevent_fd needs to be destroyed before closing the fd.
1374     * BUG 11319: Build fails on Solaris 11 with "‘PTHREAD_MUTEX_ROBUST’
1375       undeclared".
1376     * BUG 11326: Robust mutex support broken in 1.3.5.
1377     * BUG 11329: s3:smb2_setinfo: Fix memory leak in the defer_rename case.
1378     * BUG 11330: Backport tevent-0.9.25.
1379     * BUG 11331: Backport tdb-1.3.6.
1380     * BUG 11367: s3:auth_domain: Fix talloc problem in
1381       connect_to_domain_password_server().
1382
1383
1384 o   Marc Muehlfeld <mmuehlfeld@samba.org>
1385     * BUG 11315: Group creation: Add msSFU30Name only when --nis-domain was
1386       given.
1387
1388 o   Matthieu Patou <mat@matws.net>
1389     * BUG 11356: pidl: Make the compilation of PIDL producing the same results
1390       if the content hasn't change.
1391
1392
1393 o   Noel Power <noel.power@suse.com>
1394     * BUG 11328: Kerberos auth info3 should contain resource group ids available
1395       from pac_logon.
1396
1397
1398 o   Gordon Ross <gordon.w.ross@gmail.com>
1399     * BUG 11330: lib: tevent: Fix compile error in Solaris ports backend.
1400
1401
1402 o   Christof Schmitt <cs@samba.org>
1403     * BUG 11313: idmap_rfc2307: Fix wbinfo '--gid-to-sid' query.
1404     * BUG 11324: Change sharesec output back to previous format.
1405
1406
1407 o   Uri Simchoni <urisimchoni@gmail.com>
1408     * BUG 11358: winbindd: Disconnect child process if request is cancelled at
1409       main process.
1410
1411
1412 o   Petr Viktorin <pviktori@redhat.com>
1413     * BUG 11330: Backport tevent-0.9.25.
1414
1415
1416 o   Youzhong Yang <yyang@mathworks.com>
1417     * BUG 11217: s3-unix_msg: Remove socket file after closing socket fd.
1418
1419
1420 #######################################
1421 Reporting bugs & Development Discussion
1422 #######################################
1423
1424 Please discuss this release on the samba-technical mailing list or by
1425 joining the #samba-technical IRC channel on irc.freenode.net.
1426
1427 If you do report problems then please try to send high quality
1428 feedback. If you don't provide vital information to help us track down
1429 the problem then you will probably be ignored.  All bug reports should
1430 be filed under the Samba 4.2 product in the project's Bugzilla
1431 database (https://bugzilla.samba.org/).
1432
1433
1434 ======================================================================
1435 == Our Code, Our Bugs, Our Responsibility.
1436 == The Samba Team
1437 ======================================================================
1438
1439
1440 ----------------------------------------------------------------------
1441
1442
1443                    =============================
1444                    Release Notes for Samba 4.2.2
1445                            May 27, 2015
1446                    =============================
1447
1448
1449 This is the latest stable release of Samba 4.2.
1450
1451
1452 Changes since 4.2.1:
1453 --------------------
1454
1455 o   Michael Adam <obnox@samba.org>
1456     * BUG 11182: s3:smbXsrv: refactor duplicate code into
1457       smbXsrv_session_clear_and_logoff().
1458     * BUG 11260: gencache: don't fail gencache_stabilize if there were records
1459       to delete.
1460
1461
1462 o   Jeremy Allison <jra@samba.org>
1463     * BUG 11186: s3: libsmbclient: After getting attribute server, ensure main
1464       srv pointer is still valid.
1465     * BUG 11236: s4: rpc: Refactor dcesrv_alter() function into setup and send
1466       steps.
1467     * BUG 11240: s3: smbd: Incorrect file size returned in the response of
1468       "FILE_SUPERSEDE Create".
1469     * BUG 11249: Mangled names do not work with acl_xattr.
1470     * BUG 11254: nmbd rewrites browse.dat when not required.
1471
1472
1473 o   Ralph Boehme <slow@samba.org>
1474     * BUG 11213: vfs_fruit: add option "nfs_aces" that controls the NFS ACEs
1475       stuff.
1476     * BUG 11224: s3:smbd: Add missing tevent_req_nterror.
1477     * BUG 11243: vfs: kernel_flock and named streams.
1478     * BUG 11244: vfs_gpfs: Error code path doesn't call END_PROFILE.
1479
1480
1481 o   Alexander Bokovoy <ab@samba.org>
1482     * BUG 11284: s4: libcli/finddcs_cldap: continue processing CLDAP until all
1483       addresses are used.
1484
1485
1486 o   David Disseldorp <ddiss@samba.org>
1487     * BUG 11201: ctdb: check for talloc_asprintf() failure.:w
1488     * BUG 11210: spoolss: purge the printer name cache on name change.
1489
1490
1491 o   Amitay Isaacs <amitay@gmail.com>
1492     * BUG 11204: CTDB statd-callout does not scale.
1493
1494
1495 o   Björn Jacke <bj@sernet.de>
1496     * BUG 11221: vfs_fruit: also map characters below 0x20.
1497
1498
1499 o   Rajesh Joseph <rjoseph@redhat.com>
1500     * BUG 11201: ctdb: Coverity fix for CID 1291643.
1501
1502
1503 o   Julien Kerihuel <j.kerihuel@openchange.org>
1504     * BUG 11225: Multiplexed RPC connections are not handled by DCERPC server.
1505     * BUG 11226: Fix terminate connection behavior for asynchronous endpoint
1506       with PUSH notification flavors.
1507
1508
1509 o   Led <ledest@gmail.com>
1510     * BUG 11007: ctdb-scripts: Fix bashism in ctdbd_wrapper script.
1511
1512
1513 o   Volker Lendecke <vl@samba.org>
1514     * BUG 11201: ctdb: Fix CIDs 1125615, 1125634, 1125613, 1288201 and 1125553.
1515     * BUG 11257: SMB2 should cancel pending NOTIFY calls with DELETE_PENDING if
1516       the directory is deleted.
1517
1518
1519 o   Stefan Metzmacher <metze@samba.org>
1520     * BUG 11141: s3:winbindd: make sure we remove pending io requests before
1521       closing client sockets.
1522     * BUG 11182: Fix panic triggered by smbd_smb2_request_notify_done() ->
1523       smbXsrv_session_find_channel() in smbd.
1524
1525
1526 o   Christof Schmitt <cs@samba.org>
1527     * BUG 11237: 'sharesec' output no longer matches input format.
1528
1529
1530 o   Andreas Schneider <asn@samba.org>
1531     * BUG 11200: waf: Fix systemd detection.
1532
1533
1534 o   Martin Schwenke <martin@meltin.net>
1535     * BUG 11202: CTDB: Fix portability issues.
1536     * BUG 11203: CTDB: Fix some IPv6-related issues.
1537     * BUG 11204: CTDB statd-callout does not scale.
1538
1539
1540 o   Richard Sharpe <rsharpe@nutanix.com>
1541     * BUG 11234: 'net ads dns gethostbyname' crashes with an error in TALLOC_FREE
1542       if you enter invalid values.
1543
1544
1545 o   Uri Simchoni <urisimchoni@gmail.com>
1546     * BUG 11267: libads: record service ticket endtime for sealed ldap
1547       connections.
1548
1549
1550 o   Lukas Slebodnik <lslebodn@redhat.com>
1551     * BUG 11033: lib/util: Include DEBUG macro in internal header files before
1552       samba_util.h.
1553
1554
1555 #######################################
1556 Reporting bugs & Development Discussion
1557 #######################################
1558
1559 Please discuss this release on the samba-technical mailing list or by
1560 joining the #samba-technical IRC channel on irc.freenode.net.
1561
1562 If you do report problems then please try to send high quality
1563 feedback. If you don't provide vital information to help us track down
1564 the problem then you will probably be ignored.  All bug reports should
1565 be filed under the Samba 4.2 product in the project's Bugzilla
1566 database (https://bugzilla.samba.org/).
1567
1568
1569 ======================================================================
1570 == Our Code, Our Bugs, Our Responsibility.
1571 == The Samba Team
1572 ======================================================================
1573
1574
1575 ----------------------------------------------------------------------
1576
1577
1578                    =============================
1579                    Release Notes for Samba 4.2.1
1580                            April 15, 2015
1581                    =============================
1582
1583
1584 This is the latest stable release of Samba 4.2.
1585
1586
1587 Changes since 4.2.0:
1588 --------------------
1589
1590 o   Michael Adam <obnox@samba.org>
1591     * BUG 8905: s3:winbind:grent: Don't stop group enumeration when a group has
1592       no gid.
1593     * BUG 10476: build:wafadmin: Fix use of spaces instead of tabs.
1594     * BUG 11143: s3-winbind: Fix cached user group lookup of trusted domains.
1595
1596
1597 o   Jeremy Allison <jra@samba.org>
1598     * BUG 10016: s3: lib: ntlmssp: If NTLMSSP_NEGOTIATE_TARGET_INFO isn't set,
1599       cope with servers that don't send the 2 unused fields.
1600     * BUG 10888: s3: client: "client use spnego principal = yes" code checks
1601       wrong name.
1602     * BUG 11079: s3: lib: libsmbclient: If reusing a server struct, check every
1603       cli->timout miliseconds if it's still valid before use.
1604     * BUG 11173: s3: libcli: smb1: Ensure we correctly finish a tevent req if
1605       the writev fails in the SMB1 case.
1606     * BUG 11175: Fix lots of winbindd zombie processes on Solaris platform.
1607     * BUG 11177: s3: libsmbclient: Add missing talloc stackframe.
1608
1609
1610 o   Andrew Bartlett <abartlet@samba.org>
1611     * BUG 11135: backupkey: Explicitly link to gnutls and gcrypt.
1612     * BUG 11174: backupkey: Use ndr_pull_struct_blob_all().
1613
1614
1615 o   Ralph Boehme <slow@samba.org>
1616     * BUG 11125: vfs_fruit: Enhance handling of malformed AppleDouble files.
1617
1618
1619 o   Samuel Cabrero <samuelcabrero@kernevil.me>
1620     * BUG 9791: Initialize dwFlags field of DNS_RPC_NODE structure.
1621
1622
1623 o   David Disseldorp <ddiss@samba.org>
1624     * BUG 11169: docs/idmap_rid: Remove deprecated base_rid from example.
1625
1626
1627 o   Volker Lendecke <vl@samba.org>
1628     * BUG 10476: waf: Fix the build on openbsd.
1629
1630
1631 o   Stefan Metzmacher <metze@samba.org>
1632     * BUG 11144: talloc: Version 2.1.2.
1633     * BUG 11164: s4:auth/gensec_gssapi: Let gensec_gssapi_update() return
1634       NT_STATUS_LOGON_FAILURE for unknown errors.
1635
1636
1637 o   Matthew Newton <matthew-git@newtoncomputing.co.uk>
1638     * BUG 11149: Update libwbclient version to 0.12.
1639
1640
1641 o   Andreas Schneider <asn@samba.org>
1642     * BUG 11018: spoolss: Retrieve published printer GUID if not in registry.
1643     * BUG 11135: replace: Remove superfluous check for gcrypt header.
1644     * BUG 11180: s4-process_model: Do not close random fds while forking.
1645     * BUG 11185: s3-passdb: Fix 'force user' with winbind default domain.
1646
1647
1648 o   Christof Schmitt <cs@samba.org>
1649     * BUG 11153: brlock: Use 0 instead of empty initializer list.
1650
1651
1652 o   Thomas Schulz <schulz@adi.com>
1653     * BUG 11092: lib: texpect: Fix the build on Solaris.
1654     * BUG 11140: libcli/auth: Match Declaration of
1655       netlogon_creds_cli_context_tmp with implementation.
1656
1657
1658 o   Jelmer Vernooij <jelmer@samba.org>
1659     * BUG 11137: Backport subunit changes.
1660
1661
1662 #######################################
1663 Reporting bugs & Development Discussion
1664 #######################################
1665
1666 Please discuss this release on the samba-technical mailing list or by
1667 joining the #samba-technical IRC channel on irc.freenode.net.
1668
1669 If you do report problems then please try to send high quality
1670 feedback. If you don't provide vital information to help us track down
1671 the problem then you will probably be ignored.  All bug reports should
1672 be filed under the Samba 4.2 product in the project's Bugzilla
1673 database (https://bugzilla.samba.org/).
1674
1675
1676 ======================================================================
1677 == Our Code, Our Bugs, Our Responsibility.
1678 == The Samba Team
1679 ======================================================================
1680
1681
1682 ----------------------------------------------------------------------
1683
1684
1685                    =============================
1686                    Release Notes for Samba 4.2.0
1687                            March 04, 2015
1688                    =============================
1689
1690
1691 This is is the first stable release of Samba 4.2.
1692
1693 Samba 4.2 will be the next version of the Samba suite.
1694
1695
1696 Samba User Survey 2015
1697 ======================
1698
1699 https://www.surveygizmo.com/s3/2020369/Samba-User-Survey-2015
1700
1701 Please take our survey. It will help us improve Samba by understanding
1702 your knowledge and needs. The survey runs until end of March 2015 and
1703 won't ask for any personal info. The full results will be shared with
1704 the Samba Team, and statistical summaries will be shared with the
1705 Samba community after the SambaXP conference (http://sambaxp.org).
1706
1707
1708 IMPORTANT NOTE ABOUT THE SUPPORT END OF SAMBA 3
1709 =================================================
1710
1711 With the final release of Samba 4.2, the last series of Samba 3 has
1712 been discontinued! People still running 3.6.x or earlier,should
1713 consider moving to a more recent and maintained version (4.0 - 4.2).
1714 One of the common misconceptions is that Samba 4.x automatically
1715 means "Active Directory only": This is wrong!
1716
1717 Acting as an Active Directory Domain Controller is just one of the
1718 enhancements included in Samba 4.0 and later. Version 4.0 was just the
1719 next release after the 3.6 series and contains all the features of the
1720 previous ones - including the NT4-style (classic) domain support. This
1721 means you can update a Samba 3.x NT4-style PDC to 4.x, just as you've
1722 updated in the past (e.g. from 3.4.x to 3.5.x). You don't have to move
1723 your NT4-style domain to an Active Directory!
1724
1725 And of course the possibility remains unchanged, to setup a new NT4-style
1726 PDC with Samba 4.x, like done in the past (e.g. with openLDAP backend).
1727 Active Directory support in Samba 4 is additional and does not replace
1728 any of these features. We do understand the difficulty presented by
1729 existing LDAP structures and for that reason there isn't a plan to
1730 decommission the classic PDC support. It remains tested by the continuous
1731 integration system.
1732
1733 The code that supports the classic Domain Controller is also the same
1734 code that supports the internal 'Domain' of standalone servers and
1735 Domain Member Servers. This means that we still use this code, even
1736 when not acting as an AD Domain Controller. It is also the basis for
1737 some of the features of FreeIPA and so it gets development attention
1738 from that direction as well.
1739
1740
1741 UPGRADING
1742 =========
1743
1744 Read the "Winbindd/Netlogon improvements" section (below) carefully!
1745
1746
1747 NEW FEATURES
1748 ============
1749
1750 Transparent File Compression
1751 ============================
1752
1753 Samba 4.2.0 adds support for the manipulation of file and folder
1754 compression flags on the Btrfs filesystem.
1755 With the Btrfs Samba VFS module enabled, SMB2+ compression flags can
1756 be set remotely from the Windows Explorer File->Properties->Advanced
1757 dialog. Files flagged for compression are transparently compressed
1758 and uncompressed when accessed or modified.
1759
1760 Previous File Versions with Snapper
1761 ===================================
1762
1763 The newly added Snapper VFS module exposes snapshots managed by
1764 Snapper for use by Samba. This provides the ability for remote
1765 clients to access shadow-copies via Windows Explorer using the
1766 "previous versions" dialog.
1767
1768 Winbindd/Netlogon improvements
1769 ==============================
1770
1771 The whole concept of maintaining the netlogon secure channel
1772 to (other) domain controllers was rewritten in order to maintain
1773 global state in a netlogon_creds_cli.tdb. This is the proper fix
1774 for a large number of bugs:
1775
1776   https://bugzilla.samba.org/show_bug.cgi?id=6563
1777   https://bugzilla.samba.org/show_bug.cgi?id=7944
1778   https://bugzilla.samba.org/show_bug.cgi?id=7945
1779   https://bugzilla.samba.org/show_bug.cgi?id=7568
1780   https://bugzilla.samba.org/show_bug.cgi?id=8599
1781
1782 In addition a strong session key is now required by default,
1783 which means that communication to older servers or clients
1784 might be rejected by default.
1785
1786 For the client side we have the following new options:
1787 "require strong key" (yes by default), "reject md5 servers" (no by default).
1788 E.g. for Samba 3.0.37 you need "require strong key = no" and
1789 for NT4 DCs you need "require strong key = no" and "client NTLMv2 auth = no",
1790
1791 On the server side (as domain controller) we have the following new options:
1792 "allow nt4 crypto" (no by default), "reject md5 client" (no by default).
1793 E.g. in order to allow Samba < 3.0.27 or NT4 members to work
1794 you need "allow nt4 crypto = yes"
1795
1796 winbindd does not list group memberships for display purposes
1797 (e.g. getent group <domain\<group>) anymore by default.
1798 The new default is "winbind expand groups = 0" now,
1799 the reason for this is the same as for "winbind enum users = no"
1800 and "winbind enum groups = no". Providing this information is not always
1801 reliably possible, e.g. if there are trusted domains.
1802
1803 Please consult the smb.conf manpage for more details on these new options.
1804
1805 Winbindd use on the Samba AD DC
1806 ===============================
1807
1808 Winbindd is now used on the Samba AD DC by default, replacing the
1809 partial rewrite used for winbind operations in Samba 4.0 and 4.1.
1810
1811 This allows more code to be shared, more options to be honoured, and
1812 paves the way for support for trusted domains in the AD DC.
1813
1814 If required the old internal winbind can be activated by setting
1815 'server services = +winbind -winbindd'.  Upgrading users with a server
1816 services parameter specified should ensure they change 'winbind' to
1817 'winbindd' to obtain the new functionality.
1818
1819 The 'samba' binary still manages the starting of this service, there
1820 is no need to start the winbindd binary manually.
1821
1822 Winbind now requires secured connections
1823 ========================================
1824
1825 To improve protection against rogue domain controllers we now require
1826 that when we connect to an AD DC in our forest, that the connection be
1827 signed using SMB Signing.  Set 'client signing = off' in the smb.conf
1828 to disable.
1829
1830 Also and DCE/RPC pipes must be sealed, set 'require strong key =
1831 false' and 'winbind sealed pipes = false' to disable.
1832
1833 Finally, the default for 'client ldap sasl wrapping' has been set to
1834 'sign', to ensure the integrity of LDAP connections.  Set 'client ldap
1835 sasl wrapping = plain' to disable.
1836
1837 Larger IO sizes for SMB2/3 by default
1838 =====================================
1839
1840 The default values for "smb2 max read", "smb2 max write" and "smb2 max trans"
1841 have been changed to 8388608 (8MiB) in order to match the default of
1842 Windows 2012R2.
1843
1844 SMB2 leases
1845 ===========
1846
1847 The SMB2 protocol allows clients to aggressively cache files
1848 locally above and beyond the caching allowed by SMB1 and SMB2 oplocks.
1849
1850 Called SMB2 leases, this can greatly reduce traffic on an SMB2
1851 connection. Samba 4.2 now implements SMB2 leases.
1852
1853 It can be turned on by setting the parameter "smb2 leases = yes"
1854 in the [global] section of your smb.conf. This parameter is set
1855 to off by default until the SMB2 leasing code is declared fully stable.
1856
1857 Improved DCERPC man in the middle detection
1858 ===========================================
1859
1860 The DCERPC header signing has been implemented
1861 in addition to the dcerpc_sec_verification_trailer
1862 protection.
1863
1864 Overhauled "net idmap" command
1865 ==============================
1866
1867 The command line interface of the "net idmap" command has been
1868 made systematic, and subcommands for reading and writing the autorid idmap
1869 database have been added. Note that the writing commands should be
1870 used with great care. See the net(8) manual page for details.
1871
1872 tdb improvements
1873 ================
1874
1875 The tdb library, our core mechanism to store Samba-specific data on disk and
1876 share it between processes, has been improved to support process shared robust
1877 mutexes on Linux. These mutexes are available on Linux and Solaris and
1878 significantly reduce the overhead involved with tdb. To enable mutexes for
1879 tdb, set
1880
1881 dbwrap_tdb_mutexes:* = yes
1882
1883 in the [global] section of your smb.conf.
1884
1885 Tdb file space management has also been made more efficient. This
1886 will lead to smaller and less fragmented databases.
1887
1888 Messaging improvements
1889 ======================
1890
1891 Our internal messaging subsystem, used for example for things like oplock
1892 break messages between smbds or setting a process debug level dynamically, has
1893 been rewritten to use unix domain datagram messages.
1894
1895 Clustering support
1896 ==================
1897
1898 Samba's file server clustering component CTDB is now integrated in the
1899 Samba tree.  This avoids the confusion of compatibility of Samba and CTDB
1900 versions as existed previously.
1901
1902 To build the Samba file server with cluster support, use the configure
1903 command line option --with-cluster-support.  This will build clustered
1904 file server against the in-tree CTDB and will also build CTDB.
1905 Building clustered samba with previous versions of CTDB is no longer
1906 supported.
1907
1908 Samba Registry Editor
1909 =====================
1910
1911 The utitlity to browse the samba registry has been overhauled by our Google
1912 Summer of Code student Chris Davis. Now samba-regedit has a
1913 Midnight-Commander-like theme and UI experience. You can browse keys and edit
1914 the diffent value types. For a data value type a hexeditor has been
1915 implemented.
1916
1917 Bad Password Lockout in the AD DC
1918 =================================
1919
1920 Samba's AD DC now implements bad password lockout (on a per-DC basis).
1921
1922 That is, incorrect password attempts are tracked, and accounts locked
1923 out if too many bad passwords are submitted.  There is also a grace
1924 period of 60 minutes on the previous password when used for NTLM
1925 authentication (matching Windows 2003 SP1: https://support2.microsoft.com/kb/906305).
1926
1927 The relevant settings can be seen using 'samba-tool domain
1928 passwordsettings show' (the new settings being highlighted):
1929
1930 Password informations for domain 'DC=samba,DC=example,DC=com'
1931
1932 Password complexity: on
1933 Store plaintext passwords: off
1934 Password history length: 24
1935 Minimum password length: 7
1936 Minimum password age (days): 1
1937 Maximum password age (days): 42
1938 * Account lockout duration (mins): 30     *
1939 * Account lockout threshold (attempts): 0 *
1940 * Reset account lockout after (mins): 30  *
1941
1942 These values can be set using 'samba-tool domain passwordsettings set'.
1943
1944 Correct defaults in the smb.conf manpages
1945 =========================================
1946
1947 The default values for smb.conf parameters are now correctly specified
1948 in the smb.conf manpage, even when they refer to build-time specified
1949 paths.  Provided Samba is built on a system with the right tools
1950 (xsltproc in particular) required to generate our man pages, then
1951 these will be built with the exact same embedded paths as used by the
1952 configuration parser at runtime.  Additionally, the default values
1953 read from the smb.conf manpage are checked by our test suite to match
1954 the values seen in testparm and used by the running binaries.
1955
1956 Consistent behaviour between samba-tool testparm and testparm
1957 =============================================================
1958
1959 With the exception of the registry backend, which remains only
1960 available in the file server, the behaviour of the smb.conf parser and
1961 the tools 'samba-tool testparm' and 'testparm' is now consistent,
1962 particularly with regard to default values.  Except with regard to
1963 registry shares, it is no longer needed to use one tool on the AD
1964 DC, and another on the file server.
1965
1966 VFS WORM module
1967 ===============
1968
1969 A VFS module for basic WORM (Write once read many) support has been
1970 added. It allows an additional layer on top of a Samba share, that provides
1971 a basic set of WORM functionality on the client side, to control the
1972 writeability of files and folders.
1973
1974 As the module is simply an additional layer, share access and permissions
1975 work like expected - only WORM functionality is added on top. Removing the
1976 module from the share configuration, removes this layer again. The
1977 filesystem ACLs are not affected in any way from the module and treated
1978 as usual.
1979
1980 The module does not provide complete WORM functions, like some archiving
1981 products do! It is not audit-proof, because the WORM function is only
1982 available on the client side, when accessing a share through SMB! If
1983 the same folder is shared by other services like NFS, the access only
1984 depends on the underlying filesystem ACLs. Equally if you access the
1985 content directly on the server.
1986
1987 For additional information, see
1988 https://wiki.samba.org/index.php/VFS/vfs_worm
1989
1990 vfs_fruit, a VFS module for OS X clients
1991 ========================================
1992
1993 A new VFS module that provides enhanced compatibility with Apple SMB
1994 clients and interoperability with a Netatalk 3 AFP fileserver.
1995
1996 The module features enhanced performance with reliable named streams
1997 support, interoperability with special characters commonly used by OS
1998 X client (eg '*', '/'), integrated file locking and Mac metadata
1999 access with Netatalk 3 and enhanced performance by implementing
2000 Apple's SMB2 extension codenamed "AAPL".
2001
2002 The modules behaviour is fully configurable, please refer to the
2003 manpage vfs_fruit for further details.
2004
2005 smbclient archival improvements
2006 ===============================
2007
2008 Archive creation and extraction support in smbclient has been rewritten
2009 to use libarchive. This fixes a number of outstanding bugs in Samba's
2010 previous custom tar implementation and also adds support for the
2011 extraction of zipped archives.
2012 smbclient archive support can be enabled or disabled at build time with
2013 corresponding --with[out]-libarchive configure parameters.
2014
2015
2016 ######################################################################
2017 Changes
2018 #######
2019
2020 smb.conf changes
2021 ----------------
2022
2023    Parameter Name                       Description     Default
2024    --------------                       -----------     -------
2025
2026    allow nt4 crypto                     New             no
2027    neutralize nt4 emulation             New             no
2028    reject md5 client                    New             no
2029    reject md5 servers                   New             no
2030    require strong key                   New             yes
2031    smb2 max read                        Changed default 8388608
2032    smb2 max write                       Changed default 8388608
2033    smb2 max trans                       Changed default 8388608
2034    winbind expand groups                Changed default 0
2035
2036
2037 CHANGES SINCE 4.2.0rc5
2038 ======================
2039
2040 o   Michael Adam <obnox@samba.org>
2041     * BUG 11117: doc:man:vfs_glusterfs: improve the configuration section.
2042
2043
2044 o   Jeremy Allison <jra@samba.org>
2045     * BUG 11118: tevent: Ignore unexpected signal events in the same way the
2046       epoll backend does.
2047
2048
2049 o   Andrew Bartlett <abartlet@samba.org>
2050     * BUG 11100: debug: Set close-on-exec for the main log file FD.
2051     * BUG 11097: Fix Win8.1 Credentials Manager issue after KB2992611 on Samba
2052       domain.
2053
2054
2055 o   Ira Cooper <ira@samba.org>
2056     * BUG 1115: smbd: Stop using vfs_Chdir after SMB_VFS_DISCONNECT.
2057
2058
2059 o   Günther Deschner <gd@samba.org>
2060     * BUG 11088: vfs: Add a brief vfs_ceph manpage.
2061
2062
2063 o   David Disseldorp <ddiss@samba.org>
2064     * BUG 11118: tevent: version 0.9.24.
2065
2066
2067 o   Amitay Isaacs <amitay@gmail.com>
2068     * BUG 11124: ctdb-io: Do not use sys_write to write to client sockets.
2069
2070
2071 o   Volker Lendecke <vl@samba.org>
2072     * BUG 11119: snprintf: Try to support %j.
2073
2074
2075 o   Garming Sam <garming@catalyst.net.nz>
2076     * BUG 11097: Fix Win8.1 Credentials Manager issue after KB2992611 on Samba
2077       domain.
2078
2079
2080 o   Andreas Schneider <asn@samba.org>
2081     * BUG 11127: doc-xml: Add 'sharesec' reference to 'access based share
2082       enum'.
2083
2084
2085 CHANGES SINCE 4.2.0rc4
2086 ======================
2087
2088 o   Michael Adam <obnox@samba.org>
2089     * BUG 11032: Enable mutexes in gencache_notrans.tdb.
2090     * BUG 11058: cli_connect_nb_send: Don't segfault on host == NULL.
2091
2092
2093 o   Jeremy Allison <jra@samba.org>
2094     * BUG 10849: s3: lib, s3: modules: Fix compilation on Solaris.
2095     * BUG 11044: Fix authentication using Kerberos (not AD).
2096     * BUG 11077: CVE-2015-0240: s3: netlogon: Ensure we don't call talloc_free
2097       on an uninitialized pointer.
2098     * BUG 11094: s3: smbclient: Allinfo leaves the file handle open.
2099     * BUG 11102: s3: smbd: leases - losen paranoia check. Stat opens can grant
2100       leases.
2101     * BUG 11104: s3: smbd: SMB2 close. If a file has delete on close, store the
2102       return info before deleting.
2103
2104
2105 o   Ira Cooper <ira@samba.org>
2106     * BUG 11069: vfs_glusterfs: Add comments to the pipe(2) code.
2107
2108
2109 o   Günther Deschner <gd@samba.org>
2110     * BUG 11070: s3-vfs: Fix developer build of vfs_ceph module.
2111
2112
2113 o   David Disseldorp <ddiss@samba.org>
2114     * BUG 10808: printing/cups: Pack requested-attributes with IPP_TAG_KEYWORD.
2115     * BUG 11055: vfs_snapper: Correctly handles multi-byte DBus strings.
2116     * BUG 11059: libsmb: Provide authinfo domain for encrypted session
2117       referrals.
2118
2119
2120 o   Poornima G <pgurusid@redhat.com>
2121     * BUG 11069: vfs_glusterfs: Implement AIO support.
2122
2123
2124 o   Volker Lendecke <vl@samba.org>
2125     * BUG 11032: Enable mutexes in gencache_notrans.tdb.
2126
2127
2128 o   Stefan Metzmacher <metze@samba.org>
2129     * BUG 9299: nsswitch: Fix soname of linux nss_*.so.2 modules.
2130     * BUG 9702: s3:smb2_server: protect against integer wrap with "smb2 max
2131       credits = 65535".
2132     * BUG 9810: Make validate_ldb of String(Generalized-Time) accept
2133       millisecond format ".000Z".
2134     * BUG 10112: Use -R linker flag on Solaris, not -rpath.
2135
2136
2137 o   Marc Muehlfeld <mmuehlfeld@samba.org>
2138     * BUG 10909: samba-tool: Create NIS enabled users and unixHomeDirectory
2139       attribute.
2140
2141
2142 o   Garming Sam <garming@catalyst.net.nz>
2143     * BUG 11022: Make Sharepoint search show user documents.
2144
2145
2146 o   Christof Schmitt <cs@samba.org>
2147     * BUG 11032: Enable mutexes in gencache_notrans.tdb.
2148
2149
2150 o   Andreas Schneider <asn@samba.org>
2151     * BUG 11058: utils: Fix 'net time' segfault.
2152     * BUG 11066: s3-pam_smbpass: Fix memory leak in pam_sm_authenticate().
2153     * BUG 11077: CVE-2015-0240: s3-netlogon: Make sure we do not deference a
2154       NULL pointer.
2155
2156
2157 o   Raghavendra Talur <raghavendra.talur@gmail.com>
2158     * BUG 11069: vfs/glusterfs: Change xattr key to match gluster key.
2159
2160
2161 CHANGES SINCE 4.2.0rc3
2162 ======================
2163
2164 o   Andrew Bartlett <abartlet@samba.org>
2165     * BUG 10993: CVE-2014-8143: dsdb-samldb: Check for extended access
2166       rights before we allow changes to userAccountControl.
2167
2168
2169 o   Günther Deschner <gd@samba.org>
2170     * BUG 10240: vfs: Add glusterfs manpage.
2171
2172
2173 o   David Disseldorp <ddiss@samba.org>
2174     * BUG 10984: Fix spoolss IDL response marshalling when returning error
2175       without clearing info.
2176
2177
2178 o   Amitay Isaacs <amitay@gmail.com>
2179     * BUG 11000: ctdb-daemon: Use correct tdb flags when enabling robust mutex
2180       support.
2181
2182
2183 o   Volker Lendecke <vl@samba.org>
2184     * BUG 11032: tdb_wrap: Make mutexes easier to use.
2185     * BUG 11039: vfs_fruit: Fix base_fsp name conversion.
2186     * BUG 11040: vfs_fruit: mmap under FreeBSD needs PROT_READ.
2187     * BUG 11051: net: Fix sam addgroupmem.
2188
2189
2190 o   Stefan Metzmacher <metze@samba.org>
2191     * BUG 10940: s3:passdb: fix logic in pdb_set_pw_history().
2192     * BUG 11004: tdb: version 1.3.4.
2193
2194
2195 o   Christof Schmitt <cs@samba.org>
2196     * BUG 11034: winbind: Retry after SESSION_EXPIRED error in ping-dc.
2197
2198
2199 o   Andreas Schneider <asn@samba.org>
2200     * BUG 11008: s3-util: Fix authentication with long hostnames.
2201     * BUG 11026: nss_wrapper: check for nss.h.
2202     * BUG 11033: lib/util: Avoid collision which alread defined consumer DEBUG
2203       macro.
2204     * BUG 11037: s3-libads: Fix a possible segfault in kerberos_fetch_pac().
2205
2206
2207 CHANGES SINCE 4.2.0rc2
2208 ======================
2209
2210 o   Michael Adam <obnox@samba.org>
2211     * BUG 10892: Integrate CTDB into top-level Samba build.
2212
2213
2214 o   Jeremy Allison <jra@samba.org>
2215     * BUG 10851: lib: uid_wrapper: Fix setgroups and syscall detection on a
2216       system without native uid_wrapper library.
2217     * BUG 10896: s3-nmbd: Fix netbios name truncation.
2218     * BUG 10904: Fix smbclient loops doing a directory listing against Mac OS X 10
2219       server with a non-wildcard path.
2220     * BUG 10911: Add support for SMB2 leases.
2221     * BUG 10920: s3: nmbd: Ensure NetBIOS names are only 15 characters stored.
2222     * BUG 10966: libcli: SMB2: Pure SMB2-only negprot fix to make us behave as a
2223       Windows client does.
2224     * BUG 10982: s3: smbd: Fix *allocate* calls to follow POSIX error return
2225       convention.
2226
2227
2228 o   Christian Ambach <ambi@samba.org>
2229     * BUG 9629: Make 'profiles' work again.
2230
2231
2232 o   Björn Baumbach <bb@sernet.de>
2233     * BUG 11014: ctdb-build: Fix build without xsltproc.
2234
2235
2236 o   Ralph Boehme <slow@samba.org>
2237     * BUG 10834: Don't build vfs_snapper on FreeBSD.
2238     * BUG 10971: vfs_streams_xattr: Check stream type.
2239     * BUG 10983: vfs_fruit: Add support for AAPL.
2240     * BUG 11005: vfs_streams_xattr: Add missing call to SMB_VFS_NEXT_CONNECT.
2241
2242
2243 o   Günther Deschner <gd@samba.org>
2244     * BUG 9056: pam_winbind: fix warn_pwd_expire implementation.
2245     * BUG 10942: Cleanup add_string_to_array and usage.
2246
2247
2248 o   David Disseldorp <ddiss@samba.org>
2249     * BUG 10898: spoolss: Fix handling of bad EnumJobs levels.
2250     * BUG 10905: Fix print job enumeration.
2251
2252
2253 o   Amitay Isaacs <amitay@gmail.com>
2254     * BUG 10620: s4-dns: Add support for BIND 9.10.
2255     * BUG 10892: Integrate CTDB into top-level Samba build.
2256     * BUG 10996: Fix IPv6 support in CTDB.
2257     * BUG 11014: packaging: Include CTDB man pages in the tarball.
2258
2259
2260 o   Björn Jacke <bj@sernet.de>
2261     * BUG 10835: nss_winbind: Add getgroupmembership for FreeBSD.
2262
2263
2264 o   Guenter Kukkukk <linux@kukkukk.com>
2265     * BUG 10952: Fix 'samba-tool dns serverinfo <server>' for IPv6.
2266
2267
2268 o   Volker Lendecke <vl@samba.org>
2269     * BUG 10932: pdb_tdb: Fix a TALLOC/SAFE_FREE mixup.
2270     * BUG 10942: dbwrap_ctdb: Pass on mutex flags to tdb_open.
2271
2272
2273 o   Justin Maggard <jmaggard10@gmail.com>
2274     * BUG 10852: winbind3: Fix pwent variable substitution.
2275
2276
2277 o   Kamen Mazdrashki <kamenim@samba.org>
2278     * BUG 10975: ldb: version 1.1.18
2279
2280
2281 o   Stefan Metzmacher <metze@samba.org>
2282     * BUG 10781: tdb: version 1.3.3
2283     * BUG 10911: Add support for SMB2 leases.
2284     * BUG 10921: s3:smbd: Fix file corruption using "write cache size != 0".
2285     * BUG 10949: Fix RootDSE search with extended dn control.
2286     * BUG 10958: libcli/smb: only force signing of smb2 session setups when
2287       binding a new session.
2288     * BUG 10975: ldb: version 1.1.18
2289     * BUG 11016: pdb_get_trusteddom_pw() fails with non valid UTF16 random
2290       passwords.
2291
2292
2293 o   Marc Muehlfeld <mmuehlfeld@samba.org>
2294     * BUG 10895: samba-tool group add: Add option '--nis-domain' and '--gid'.
2295
2296
2297 o   Noel Power <noel.power@suse.com>
2298     * BUG 10918: btrfs: Don't leak opened directory handle.
2299
2300
2301 o   Matt Rogers <mrogers@redhat.com>
2302     * BUG 10933: s3-keytab: fix keytab array NULL termination.
2303
2304
2305 o   Garming Sam <garming@catalyst.net.nz>
2306     * BUG 10355: pdb: Fix build issues with shared modules.
2307     * BUG 10720: idmap: Return the correct id type to *id_to_sid methods.
2308     * BUG 10864: Fix testparm to show hidden share defaults.
2309
2310
2311 o   Andreas Schneider <asn@samba.org>
2312     * BUG 10279: Make 'smbclient' use cached creds.
2313     * BUG 10960: s3-smbclient: Return success if we listed the shares.
2314     * BUG 10961: s3-smbstatus: Fix exit code of profile output.
2315     * BUG 10965: socket_wrapper: Add missing prototype check for eventfd.
2316
2317
2318 o   Martin Schwenke <martin@meltin.net>
2319     * BUG 10892: Integrate CTDB into top-level Samba build.
2320     * BUG 10996: Fix IPv6 support in CTDB.
2321
2322
2323 CHANGES SINCE 4.2.0rc1
2324 ======================
2325
2326 o   Jeremy Allison <jra@samba.org>
2327     * BUG 10848: s3: smb2cli: query info return length check was reversed.
2328
2329
2330 o   Björn Baumbach <bb@sernet.de>
2331     * BUG 10862: build: Do not install 'texpect' binary anymore.
2332
2333
2334 o   Chris Davis <cd.rattan@gmail.com>
2335     * BUG 10859: Improve samba-regedit.
2336
2337
2338 o   Jakub Hrozek <jakub.hrozek@gmail.com>
2339     * BUG 10861: Fix build of socket_wrapper on systems without SO_PROTOCOL.
2340
2341
2342 o   Volker Lendecke <vl@samba.org>
2343     * BUG 10860: registry: Don't leave dangling transactions.
2344
2345
2346 o   Stefan Metzmacher <metze@samba.org>
2347     * BUG 10866: libcli/smb: Fix smb2cli_validate_negotiate_info with
2348       min=PROTOCOL_NT1 max=PROTOCOL_SMB2_02.
2349
2350
2351 o   Christof Schmitt <cs@samba.org>
2352     * BUG 10837: idmap_rfc2307: Fix a crash after connection problem to DC.
2353
2354
2355 #######################################
2356 Reporting bugs & Development Discussion
2357 #######################################
2358
2359 Please discuss this release on the samba-technical mailing list or by
2360 joining the #samba-technical IRC channel on irc.freenode.net.
2361
2362 If you do report problems then please try to send high quality
2363 feedback. If you don't provide vital information to help us track down
2364 the problem then you will probably be ignored.  All bug reports should
2365 be filed under the Samba 4.2 product in the project's Bugzilla
2366 database (https://bugzilla.samba.org/).
2367
2368
2369 ======================================================================
2370 == Our Code, Our Bugs, Our Responsibility.
2371 == The Samba Team
2372 ======================================================================
2373