Kif Tiffissa l-Vulnerabilità SambaCry (CVE-2017-7494) fis-Sistemi Linux
Samba ilu żmien twil l-istandard biex jipprovdi servizzi ta’ fajls u stampar kondiviżi lill-klijenti tal-Windows fuq sistemi *nix. Użat minn utenti domestiċi, negozji ta 'daqs medju, u kumpaniji kbar bl-istess mod, jispikka bħala s-soluzzjoni ta' użu f'ambjenti fejn jeżistu flimkien sistemi operattivi differenti.
Kif sfortunatament jiġri b'għodod użati b'mod wiesa ', il-biċċa l-kbira tal-installazzjonijiet ta' Samba huma taħt riskju ta 'attakk li jista' jisfrutta vulnerabbiltà magħrufa, li ma kinitx ikkunsidrata bħala serja sakemm l-attakk tar-ransomware WannaCry laqat l-aħbarijiet mhux twil ilu.
F'dan l-artikolu, se nispjegaw x'inhi din il-vulnerabbiltà Samba u kif tipproteġi s-sistemi li inti responsabbli għalihom kontriha. Skont it-tip ta 'installazzjoni tiegħek (minn repożitorji jew mis-sors), ser ikollok bżonn tieħu approċċ differenti biex tagħmel dan.
Jekk bħalissa qed tuża Samba fi kwalunkwe ambjent jew taf lil xi ħadd li jagħmel, kompli aqra!
Il-Vulnerabilità
Sistemi skaduti u mhux patched huma vulnerabbli għal vulnerabbiltà tal-eżekuzzjoni remota tal-kodiċi. F'termini sempliċi, dan ifisser li persuna b'aċċess għal sehem li jista 'jinkiteb tista' ttella' biċċa kodiċi arbitrarja u tesegwixxiha b'permessi ta 'l-għeruq fis-server.
Il-kwistjoni hija deskritta fil-websajt Samba bħala CVE-2017-7494 u hija magħrufa li taffettwa l-verżjonijiet Samba 3.5 (rilaxxati kmieni f'Marzu 2010) u 'l quddiem. B'mod mhux uffiċjali, ġie msemmi SambaCry minħabba s-similaritajiet tiegħu ma 'WannaCry: it-tnejn jimmiraw il-protokoll SMB u huma potenzjalment wormable - li jistgħu jikkawżaw li jinfirex minn sistema għal sistema.
Debian, Ubuntu, CentOS u Red Hat ħadu azzjoni rapida biex jipproteġu lill-utenti tiegħu u ħarġu garża għall-verżjonijiet appoġġjati tagħhom. Barra minn hekk, ġew ipprovduti wkoll soluzzjonijiet ta' sigurtà għal dawk mhux appoġġjati.
Aġġornament ta' Samba
Kif issemma qabel, hemm żewġ approċċi li għandhom isegwu skont il-metodu ta 'installazzjoni preċedenti:
Jekk installajt Samba mir-repożitorji tad-distribuzzjoni tiegħek.
Ejja nagħtu ħarsa lejn dak li għandek bżonn tagħmel f'dan il-każ:
Kun żgur li apt hija ssettjata biex tikseb l-aħħar aġġornamenti tas-sigurtà billi żżid il-linji li ġejjin mal-lista tas-sorsi tiegħek (/etc/apt/sources.list):
deb http://security.debian.org stable/updates main deb-src http://security.debian.org/ stable/updates main
Sussegwentement, aġġorna l-lista ta' pakketti disponibbli:
# aptitude update
Fl-aħħarnett, kun żgur li l-verżjoni tal-pakkett samba taqbel mal-verżjoni fejn il-vulnerabbiltà ġiet iffissata (ara CVE-2017-7494):
# aptitude show samba
Biex tibda, iċċekkja għal pakketti ġodda disponibbli u aġġorna l-pakkett samba kif ġej:
$ sudo apt-get update $ sudo apt-get install samba
Il-verżjonijiet Samba fejn diġà ġiet applikata s-soluzzjoni għal CVE-2017-7494 huma dawn li ġejjin:
- 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
- 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
- 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
- 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8
Fl-aħħarnett, mexxi l-kmand li ġej biex tivverifika li l-kaxxa Ubuntu tiegħek issa għandha l-verżjoni Samba t-tajba installata.
$ sudo apt-cache show samba
Il-verżjoni Samba patched f'EL 7 hija samba-4.4.4-14.el7_3. Biex tinstallah, agħmel
# yum makecache fast # yum update samba
Bħal qabel, kun żgur li issa għandek il-verżjoni Samba patched:
# yum info samba
Verżjonijiet anzjani, li għadhom appoġġjati ta 'CentOS u RHEL għandhom soluzzjonijiet disponibbli wkoll. Iċċekkja RHSA-2017-1270 biex issir taf aktar.
Nota: Il-proċedura li ġejja tassumi li qabel bnejt Samba mis-sors. Inti mħeġġa ħafna biex tipprovaha b'mod estensiv f'ambjent ta 'ttestjar QABEL ma tużah għal server ta' produzzjoni.
Barra minn hekk, kun żgur li tagħmel backup tal-fajl smb.conf qabel tibda.
F'dan il-każ, aħna se niġbru u naġġornaw Samba mis-sors ukoll. Qabel ma nibdew, madankollu, irridu niżguraw li d-dipendenzi kollha jkunu installati qabel. Innota li dan jista' jieħu diversi minuti.
# aptitude install acl attr autoconf bison build-essential \ debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \ libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \ libcap-dev libcups2-dev libgnutls28-dev libjson-perl \ libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \ libpopt-dev libreadline-dev perl perl-modules pkg-config \ python-all-dev python-dev python-dnspython python-crypto xsltproc \ zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto
# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \ libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \ perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \ python-crypto gnutls-devel libattr-devel keyutils-libs-devel \ libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \ pam-devel popt-devel python-devel readline-devel zlib-devel
Waqqaf is-servizz:
# systemctl stop smbd
Niżżel u neħħi s-sors (bil-4.6.4 tkun l-aħħar verżjoni fil-ħin tal-kitba):
# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz # tar xzf samba-latest.tar.gz # cd samba-4.6.4
Għal skopijiet informattivi biss, iċċekkja l-għażliet ta 'konfigurazzjoni disponibbli għar-rilaxx attwali bil.
# ./configure --help
Tista 'tinkludi xi wħud mill-għażliet ritornati mill-kmand ta' hawn fuq jekk intużaw fil-bini ta 'qabel, jew tista' tagħżel li tmur mal-default:
# ./configure # make # make install
Fl-aħħarnett, ibda mill-ġdid is-servizz.
# systemctl restart smbd
u vverifika li qed tħaddem il-verżjoni aġġornata:
# smbstatus --version
li għandu jirritorna 4.6.4.
Konsiderazzjonijiet Ġenerali
Jekk qed tħaddem verżjoni mhux appoġġjata ta' distribuzzjoni partikolari u ma tistax taġġorna għal waħda aktar riċenti għal xi raġuni, tista' tkun trid tqis is-suġġerimenti li ġejjin:
- Jekk SELinux huwa attivat, int protett!
- Aċċerta ruħek li l-ishma ta' Samba huma mmuntati bl-għażla noexec. Dan jipprevjeni l-eżekuzzjoni ta' binarji li jirrisjedu fuq is-sistema tal-fajls immuntata.
Żid,
nt pipe support = no
għat-taqsima [globali] tal-fajl smb.conf tiegħek u erġa ibda s-servizz. Forsi trid iżżomm f'moħħok li dan \jista' jiskonnettja xi funzjonalità fil-klijenti tal-Windows, skont il-proġett Samba.
Importanti: Kun konxju li l-għażla \nt pipe support = no se tiddiżattiva l-elenkar tal-ishma mill-klijenti Windows. Eż: Meta ttajpja \10.100.10.2\ minn Windows Explorer fuq server samba inti tirċievi permess miċħud. Klijenti Windows trid tispeċifika manwalment is-sehem bħala \10.100.10.2\share_name biex taċċessa s-sehem.
F'dan l-artikolu, iddeskrivejna l-vulnerabbiltà magħrufa bħala SambaCry u kif ttaffiha. Nittamaw li tkun tista' tuża din l-informazzjoni biex tipproteġi s-sistemi li int responsabbli għalihom.
Jekk għandek xi mistoqsijiet jew kummenti dwar dan l-artikolu, tħossok liberu li tuża l-formola hawn taħt biex tgħarrafna.