• 首页
• 新闻中心
  • 内部新闻
  • 公共新闻
  • 业界新闻
  • 产品新闻
• 产品应用
  • 程序开发工具
  • 企业级应用
  • 服务器软件
  • 应用工具
  • 数字娱乐
  • 硬件
• 解决方案
  • 系统架构经验谈
  • 系统部署应用
  • 办公自动化
  • 案例集锦
  • 参考手册
• 开源应用支持
  • 认识Unix
  • 系统管理
  • 网络管理
  • 桌面应用
  • 存储备份
  • 引导安装
  • 服务应用
  • 群集应用
  • 数据库
  • 系统安全
• 程序设计与开发
  • Perl编程
  • 设计与开发
  • 应用编程开发
  • Web设计与编程
• 关于我们
  • 关于本站

Samba风险漏洞

2015-03-07 08:01:36 阿炯

Samba提权风险漏洞(CVE-2015-0240)

Samba的守护进程smbd里有一个为初始化的指针可被远程漏洞利用，这个编号CVE-2015-0240的漏洞允许一个恶意的Samba客户端发送一个特定的netlogon数据包给smbd获得smbd运行的权限，而smbd的默认权限是root，这个漏洞影响了Samba 3.5和更新的版本，主流的GNU/Linux发行版都受到了影响，目前Debian已经修复。Red Hat Security Team的漏洞的分析报告已经公布。建议企业和个人都打补丁，如果暂时因为开发运维水平低下而不想打补丁的也有临时降低风险的方案：在/etc/samba/smb.conf里增加:

rpc_server:netlogon=disabled

注意：这个临时方案并不能在3.6.x和更早的版本上运行。

参考来源：Ubuntu Security Notice USN-2508-1

Linux Samba 出现类永恒之蓝攻击(CVE-2017-7494)

2017年5月25日凌晨，360官方博客紧急发布了 Samba 远程代码执行漏洞警报(CVE-2017-7494)。

Samba 是被广泛应用在各种 Linux 和 Unix 系统上的开源共享服务软件，类似于 Windows 上的 SMB 服务。此前爆发的“永恒之蓝”勒索蠕虫病毒利用 Windows 的 SMB 漏洞疯狂传播，而 Samba 的漏洞主要威胁 Linux 服务器、NAS 网络存储产品，甚至路由器等各种 IoT 设备也受到影响。当Windows永恒之蓝漏洞最早在4月份公开披露时，很多安全专家认为该漏洞很难被利用，因为全网仅有很少的一部分计算机会开启文件和打印机共享功能。想哭勒索蠕虫的迅速传播打破了之前的假设。网络安全公司Phobus集团创始人Dan Tentler表示，有超过477,000台的计算机开放Samba服务445端口，目前尚不清楚其中有多少运行存在该漏洞的程序。

据360安全卫士官方微博介绍，Samba 的逻辑漏洞相对比较简单、稳定，可以远程执行任意代码，其漏洞攻击工具也已在网上公开，随时可能被不法分子利用发动网络偷袭。

360网络安全响应中心和云安全团队 360Gear Team 经过分析评估后，第一时间发布了 Samba 漏洞解决方案，建议受影响版本用户尽快通过以下方式进行安全更新：
使用源码安装的 Samba 用户，请尽快下载最新的 Samba 版本手动更新
使用二进制分发包(RPM 等方式)的用户立即进行 yum，apt-get update 等安全更新操作

此外，用户还可以通过在 smb.conf 的 [global] 节点下增加 nt pipe support = no 选项，然后重新启动 samba 服务的操作，达到缓解该漏洞的效果。

一个隐藏了7年之久的Samba远程代码执行漏洞于昨日发布了安全补丁。要说Samba远程代码执行漏洞跟前段时间闹得风声水起的Windows想哭勒索蠕虫的影响范围差不多，那可能是有点夸大其辞，但受影响的范围仍然很大，需要引起广大Linux用户及相应管理人员的重视。

Samba网络工具的厂商刚刚修复了该远程代码执行漏洞，没有及时打补丁的用户均会受到该漏洞的影响。

漏洞利用的条件

漏洞存在至今已有7年有余，其对应的漏洞编号为CVE-2017-7494，只需满足以下几个条件，攻击者即可利用响应的exploit控制受影响的主机。需要满足的条件如下：
(a)在互联网上开启文件和打印机共享的445端口，可以通过该端口与存在漏洞的主机进行通信
(b)配置共享文件为可写权限
(c)攻击者已知或可猜测出对应文件的路径

当满足以上3个条件，远程的攻击者可以构造恶意代码，在服务器上执行。取决于存在漏洞的平台，有可能拿到存在漏洞机器的root权限。“从3.5.0版本开始，几乎所有版本的Samba均存在该远程代码执行漏洞，允许恶意客户端将共享库上传到可写共享，服务器会加载并执行恶意代码。”

Samba供应商与昨日(2017年5月24日)已发布安全公告，警示广大用户尽快升级、安装补丁。目前暂无利用该漏洞的蠕虫病毒传播，但仍然需要提高警惕，安全研究人员表示该漏洞可以引发蠕虫攻击，如果有相应的蠕虫利用该漏洞传播，恶意代码可以直接从一台机器转移复制到另一台机器，而不需要与用户进行任何交互。

Samba漏洞与Windows永恒之蓝的差异

Samba漏洞与Windows永恒之蓝也存在一些不同。Windows的SMB服务默认开启，Samba在大多数的Linux发行版中需要手动开启。另一个区别是没有一个类似影子经济人的黑客组织盗取NSA的永恒之蓝漏洞利用代码，并将其公开在网络上。提前获取漏洞利用代码的话可能会导致病毒更快的去传播。

Samba远程代码执行漏洞可能产生的影响

企业网络环境中，某一台计算机因为打开了一个存在恶意附件的邮件，收该病毒影响后，可能会迅速扩散到局域网内其他存在漏洞的主机。研究人员表示，该漏洞可能也会影响到含有网络存储设备的家庭网络。

修复建议：
1、使用Samba服务的用户检查操作系统或设备提供商是否提供了安全补丁

2、使用源码安装的Samba用户，请尽快下载最新的Samba版本手动更新；

3、无法立即修复漏洞的人可以通过向Samba配置文件中添加如下代码并重启服务缓解该问题
nt pipe support = no

参考来源
CVE-2017-7494
samba-security-CVE-2017-7494
Samba远程命令执行漏洞CVE-2017-7494 攻击演示