SambaCry haavatavuse (CVE-2017-7494) parandamine Linuxi süsteemides
Samba on pikka aega olnud Windowsi klientidele * nix süsteemides jagatud faili- ja prinditeenuste pakkumise standard. Kasutatakse nii kodukasutajate, keskmise suurusega ettevõtete kui ka suurettevõtete seas ning see paistab silma peal oleva lahendusena keskkondades, kus erinevad opsüsteemid eksisteerivad koos.
Kuna see juhtub kahjuks laialdaselt kasutatavate tööriistade puhul, on enamikul Samba installatsioonidel oht rünnata, mis võib ära kasutada teadaolevat haavatavust, mida ei peetud tõsiseks enne, kui WannaCry lunavara rünnak uudiseid liiga kaua aega tagasi tabas.
Selles artiklis selgitame, mis on see Samba haavatavus ja kuidas kaitsta vastutavaid süsteeme selle eest. Sõltuvalt installimistüübist (hoidlatest või allikast) peate selle tegemiseks kasutama teistsugust lähenemist.
Kui kasutate Sambat praegu igas keskkonnas või tunnete kedagi, kes seda kasutab, lugege edasi!
Haavatavus
Aegunud ja parandamata süsteemid on koodi kaugkäivitamise haavatavuse suhtes haavatavad. Lihtsamalt öeldes tähendab see seda, et kirjutatavale aktsiale juurdepääsuga isik saab suvalise koodi tüki üles laadida ja selle serveris juurõigustega käivitada.
Probleemi kirjeldatakse Samba veebisaidil kui CVE-2017-7494 ja see mõjutab teadaolevalt Samba versioone 3.5 (välja antud 2010. aasta märtsi alguses) ja edasi. Mitteametlikult on selle nimi olnud SambaCry selle sarnasuse tõttu WannaCry-ga: mõlemad sihivad SMB-protokolli ja on potentsiaalselt ussitavad - mis võib põhjustada selle leviku süsteemist süsteemi.
Debian, Ubuntu, CentOS ja Red Hat on oma kasutajate kaitsmiseks kiiresti tegutsenud ja on oma toetatud versioonidele välja andnud plaastrid. Lisaks on turvatöötajad pakutud ka toetamata lahendustele.
Samba värskendamine
Nagu varem mainitud, on eelmisest installimeetodist sõltuvalt kaks lähenemisviisi:
Kui installisite Samba oma levitamise hoidlatest.
Vaatame, mida peate sel juhul tegema:
Veenduge, et apt oleks seatud uusimate turbevärskenduste hankimiseks, lisades oma allikaloendisse (/etc/apt/sources.list) järgmised read:
deb http://security.debian.org stable/updates main deb-src http://security.debian.org/ stable/updates main
Järgmisena värskendage saadaolevate pakettide loendit:
# aptitude update
Lõpuks veenduge, et paketi samba versioon ühtiks versiooniga, kus haavatavus on parandatud (vt CVE-2017-7494)
# aptitude show samba
Alustuseks kontrollige uusi saadaolevaid pakette ja värskendage samba paketti järgmiselt:
$ sudo apt-get update $ sudo apt-get install samba
Samba versioonid, kus CVE-2017-7494 parandus on juba rakendatud, on järgmised:
- 17.04: samba 2: 4.5.8 + dfsg-0ubuntu0.17.04.2
- 16.10: samba 2: 4.4.5 + dfsg-2ubuntu5.6
- 16.04 LTS: samba 2: 4.3.11 + dfsg-0ubuntu0.16.04.7
- 14.04 LTS: samba 2: 4.3.11 + dfsg-0ubuntu0.14.04.8
Lõpuks käivitage järgmine käsk, et kontrollida, kas teie Ubuntu kast on nüüd installitud õige Samba versioon.
$ sudo apt-cache show samba
EL 7 parandatud Samba versioon on samba-4.4.4-14.el7_3. Selle installimiseks tehke järgmist
# yum makecache fast # yum update samba
Nagu enne, veenduge, et teil oleks nüüd lappitud Samba versioon:
# yum info samba
CentOSi ja RHELi vanematel, endiselt toetatud versioonidel on saadaval ka parandused. Lisateabe saamiseks vaadake RHSA-2017-1270.
Märkus. Järgmine protseduur eeldab, et olete varem Samba ehitanud allikast. Enne, kui juurutate seda tootmisserverisse, soovitame teil seda testimiskeskkonnas ulatuslikult proovida.
Lisaks varundage enne alustamist kindlasti fail smb.conf.
Sel juhul koostame ja värskendame Samba ka allikast. Enne alustamist peame siiski veenduma, et kõik sõltuvused on varem installitud. Pange tähele, et see võib võtta mitu minutit.
# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto
# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel
Teenuse peatamine:
# systemctl stop smbd
Laadige allikas alla ja tühjendage fail (selle kirjutamise ajal on uusim versioon 4.6.4):
# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz # tar xzf samba-latest.tar.gz # cd samba-4.6.4
Ainult informatiivsel eesmärgil kontrollige praeguse versiooni olemasolevaid konfigureerimisvalikuid.
# ./configure --help
Võite kaasata mõned ülaltoodud käsu tagastatud valikud, kui neid kasutati eelmises järgus, või võite valida vaikimisi:
# ./configure # make # make install
Lõpuks taaskäivitage teenus.
# systemctl restart smbd
ja veenduge, et kasutate värskendatud versiooni:
# smbstatus --version
mis peaks tagastama 4.6.4.
Üldised kaalutlused
Kui teil on antud jaotise toetamata versioon ja te ei saa mingil põhjusel uuemale versioonile üle minna, võite võtta arvesse järgmisi soovitusi:
- Kui SELinux on lubatud, olete kaitstud!
- Veenduge, et Samba aktsiad oleksid ühendatud noexec-suvandiga. See hoiab ära ühendatud failisüsteemis asuvate kahendfailide käivitamise.
Lisama,
nt pipe support = no
oma smb.conf-faili jaotisesse [globaalne] ja taaskäivitage teenus. Võib-olla peaksite meeles pidama, et see\"võib Windowsi klientides mõne funktsiooni keelata", nagu Samba projektis.
Tähtis: pidage meeles, et valik\"nt pipe support = no" keelaks Windowsi klientide aktsiate loendi. Nt: Kui tippite samba serverisse Windows Explorerist \\ 10.100.10.2 \, luba keelatakse. Windowsi kliendid peaks jagamisele juurdepääsu saamiseks käsitsi määrama aktsia \\ 10.100.10.2\share_name.
Selles artiklis kirjeldasime SambaCry nime all tuntud haavatavust ja selle leevendamist. Loodame, et saate seda teavet kasutada vastutavate süsteemide kaitsmiseks.
Kui teil on selle artikli kohta küsimusi või kommentaare, kasutage meile julgelt allolevat vormi.