Является ли моя Ubuntu уязвимой для SambaCry?
Я прочитал эти две темы:
- Предупреждение! Хакеры начали использовать "SambaCry Flaw" для взлома Linux-систем
- 7-летний недостаток Samba позволяет хакерам получать удаленный доступ к тысячам компьютеров Linux
И я немного забеспокоился, безопасен ли мой компьютер с Ubuntu? Или я уязвим к этой уязвимости?
Вторая статья упоминала, что:
Недостаток на самом деле заключался в способе работы Samba с общими библиотеками.
Другое дело, что они говорят, что все версии начиная с версии 3.5.0 начиная с 2010 года уязвимы.
В то время было обнаружено, что в Интернете было обнаружено около 485 000 компьютеров с поддержкой Samba, и исследователи предсказали, что атаки на основе SambaCry также могут распространяться так же, как и вымогатели WannaCry. (здесь).
У меня нет сервера Samba, однако у меня есть samba-libs
пакет установлен.
Что, если что, я должен сделать?
Я использую Ubuntu 16.04.
2 ответа
Прежде всего, у вас должен быть запущен сервер samba, чтобы быть уязвимым к этой ошибке, которой у вас нет.
Эта уязвимость уже исправлена, ее CVE-ID: " CVE-2017-7494":
Samba, начиная с версии 3.5.0, уязвима для уязвимости удаленного выполнения кода, позволяя злонамеренному клиенту загружать общую библиотеку в доступный для записи общий ресурс, а затем заставлять сервер загружать и выполнять ее.
Так что вам нужно сделать обновление системы, если вы еще этого не сделали, тогда вы в безопасности.
Проверьте свои apt's
"history logs" to see if your Ubuntu recently received any upgrade for samba or its libraries.
grep -B10 samba- /var/log/apt/history.log
to make sure you've got last updates use:
sudo apt update
sudo apt upgrade
Also use:
apt changelog samba
или же aptitude changelog samba
if you are running an older version Ubuntu to get a list of last changes in this package, and if you pay attention you will see:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium
* SECURITY UPDATE: remote code execution from a writable share
- debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
slash inside in source3/rpc_server/srv_pipe.c.
- CVE-2017-7494
Pay attention to the version: "2:4.3.11+dfsg-0ubuntu0.16.04.7", Then use:
$ dpkg -l samba* | awk "( !(/none/) && /^ii/ )"
ii samba-libs:amd64 2:4.3.11+dfsg-0ubuntu0.16.04.7 amd64 Samba core libraries
to see if you have patched version installed or not.
Extra steps
If you're really paranoia, grab a copy of source code, eg:
apt source --download samba-libs
it will download the corresponding source code and all patches, extracts the source and apply the patches.
затем перейдите к:
head /path-to-extract/samba-4.3.11+dfsg/debian/changelog
You'll see the same stuff, as apt changelog samba
, you can even look for patch itself:
cat /home/ravexina/samba-4.3.11+dfsg/debian/patches/CVE-2017-7494.patch
+ if (strchr(pipename, '/')) {
+ DEBUG(1, ("Refusing open on pipe %s\n", pipename));
+ return false;
+ }
+
or even compile and install it, if you wish.
If you're carious, you can see a proof of concept for cve-2017-7494 here.
Уведомление о безопасности Ubuntu, связанное с CVE, содержит список уязвимых выпусков Ubuntu и версий пакетов, к которым было применено исправление. От USN-3296-1:
Проблема может быть исправлена путем обновления вашей системы до следующей версии пакета:
Ubuntu 17.04:
samba 2: 4.5.8 + dfsg-0ubuntu0.17.04.2
Ubuntu 16.10:
samba 2: 4.4.5 + dfsg-2ubuntu5.6
Ubuntu 16.04 LTS:
samba 2: 4.3.11 + dfsg-0ubuntu0.16.04.7
Ubuntu 14.04 LTS:
samba 2: 4.3.11 + dfsg-0ubuntu0.14.04.8
Кроме того, USN-3296-2 заявляет, что пользователям 12.04 ESM также доступна исправленная версия:
Ubuntu 12.04 LTS:
samba 2: 3.6.25-0ubuntu0.12.04.11