CVE-2016-2118: docs-xml: default "allow dcerpc auth level connect" to "no"
authorStefan Metzmacher <metze@samba.org>
Thu, 10 Mar 2016 16:03:59 +0000 (17:03 +0100)
committerStefan Metzmacher <metze@samba.org>
Tue, 12 Apr 2016 17:25:28 +0000 (19:25 +0200)
BUG: https://bugzilla.samba.org/show_bug.cgi?id=11616

Signed-off-by: Stefan Metzmacher <metze@samba.org>
Reviewed-by: Alexander Bokovoy <ab@samba.org>
docs-xml/smbdotconf/security/allowdcerpcauthlevelconnect.xml
lib/param/loadparm.c
source3/param/loadparm.c

index 27a9733475e0cfad3edc16b600405d184dd0a268..03531adbfb368d73a8137dcf9820f373bce27a84 100644 (file)
        E.g. the drsuapi and backupkey protocols require DCERPC_AUTH_LEVEL_PRIVACY.
        The dnsserver protocol requires DCERPC_AUTH_LEVEL_INTEGRITY.
        </para>
-
-       <para>Note the default will very likely change to <constant>no</constant> for Samba 4.5.</para>
 </description>
 
-<value type="default">yes</value>
-<value type="example">no</value>
+<value type="default">no</value>
+<value type="example">yes</value>
 
 </samba:parameter>
index c47759d94c79aa195ba3ce1dd52b0e1c4421dbf2..73d4204ee4e012b0d4fb5138c5ffea0e6cd914fd 100644 (file)
@@ -2634,7 +2634,7 @@ struct loadparm_context *loadparm_init(TALLOC_CTX *mem_ctx)
        lpcfg_do_global_parameter(lp_ctx, "RawNTLMv2Auth", "False");
        lpcfg_do_global_parameter(lp_ctx, "client use spnego principal", "False");
 
-       lpcfg_do_global_parameter(lp_ctx, "allow dcerpc auth level connect", "True");
+       lpcfg_do_global_parameter(lp_ctx, "allow dcerpc auth level connect", "False");
 
        lpcfg_do_global_parameter(lp_ctx, "UnixExtensions", "True");
 
index 2af0f310ee92b190d7b0dec347d82655dbccd09e..c6a3cf6e3874608831cc5336146e23770b0ab36a 100644 (file)
@@ -697,7 +697,7 @@ static void init_globals(struct loadparm_context *lp_ctx, bool reinit_globals)
        Globals.client_ntlmv2_auth = true; /* Client should always use use NTLMv2, as we can't tell that the server supports it, but most modern servers do */
        /* Note, that we will also use NTLM2 session security (which is different), if it is available */
 
-       Globals.allow_dcerpc_auth_level_connect = true; /* we need to allow this for now by default */
+       Globals.allow_dcerpc_auth_level_connect = false; /* we don't allow this by default */
 
        Globals.map_to_guest = 0;       /* By Default, "Never" */
        Globals.oplock_break_wait_time = 0;     /* By Default, 0 msecs. */