Является ли моя Ubuntu уязвимой для SambaCry?

Я прочитал эти две темы:

  1. Предупреждение! Хакеры начали использовать "SambaCry Flaw" для взлома Linux-систем
  2. 7-летний недостаток Samba позволяет хакерам получать удаленный доступ к тысячам компьютеров Linux

И я немного забеспокоился, безопасен ли мой компьютер с Ubuntu? Или я уязвим к этой уязвимости?

Вторая статья упоминала, что:

Недостаток на самом деле заключался в способе работы Samba с общими библиотеками.

Другое дело, что они говорят, что все версии начиная с версии 3.5.0 начиная с 2010 года уязвимы.

В то время было обнаружено, что в Интернете было обнаружено около 485 000 компьютеров с поддержкой Samba, и исследователи предсказали, что атаки на основе SambaCry также могут распространяться так же, как и вымогатели WannaCry. (здесь).

У меня нет сервера Samba, однако у меня есть samba-libs пакет установлен.

Что, если что, я должен сделать?

Я использую Ubuntu 16.04.

2 ответа

Решение

Прежде всего, у вас должен быть запущен сервер samba, чтобы быть уязвимым к этой ошибке, которой у вас нет.

Эта уязвимость уже исправлена, ее CVE-ID: " CVE-2017-7494":

Samba, начиная с версии 3.5.0, уязвима для уязвимости удаленного выполнения кода, позволяя злонамеренному клиенту загружать общую библиотеку в доступный для записи общий ресурс, а затем заставлять сервер загружать и выполнять ее.

Так что вам нужно сделать обновление системы, если вы еще этого не сделали, тогда вы в безопасности.

Проверьте свои apt's "history logs" to see if your Ubuntu recently received any upgrade for samba or its libraries.

grep -B10 samba- /var/log/apt/history.log

to make sure you've got last updates use:

sudo apt update
sudo apt upgrade

Also use:

apt changelog samba

или же aptitude changelog samba if you are running an older version Ubuntu to get a list of last changes in this package, and if you pay attention you will see:

samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium

  * SECURITY UPDATE: remote code execution from a writable share
  - debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
    slash inside in source3/rpc_server/srv_pipe.c.
  - CVE-2017-7494

Pay attention to the version: "2:4.3.11+dfsg-0ubuntu0.16.04.7", Then use:

$ dpkg -l samba* | awk "( !(/none/) && /^ii/ )"
ii samba-libs:amd64  2:4.3.11+dfsg-0ubuntu0.16.04.7 amd64  Samba core libraries

to see if you have patched version installed or not.


Extra steps

If you're really paranoia, grab a copy of source code, eg:

apt source --download samba-libs

it will download the corresponding source code and all patches, extracts the source and apply the patches.

затем перейдите к:

head /path-to-extract/samba-4.3.11+dfsg/debian/changelog

You'll see the same stuff, as apt changelog samba, you can even look for patch itself:

cat /home/ravexina/samba-4.3.11+dfsg/debian/patches/CVE-2017-7494.patch

+   if (strchr(pipename, '/')) {
+       DEBUG(1, ("Refusing open on pipe %s\n", pipename));
+       return false;
+   }
+

or even compile and install it, if you wish.


If you're carious, you can see a proof of concept for cve-2017-7494 here.

Уведомление о безопасности Ubuntu, связанное с CVE, содержит список уязвимых выпусков Ubuntu и версий пакетов, к которым было применено исправление. От USN-3296-1:

Проблема может быть исправлена ​​путем обновления вашей системы до следующей версии пакета:

Ubuntu 17.04:

samba 2: 4.5.8 + dfsg-0ubuntu0.17.04.2

Ubuntu 16.10:

samba 2: 4.4.5 + dfsg-2ubuntu5.6

Ubuntu 16.04 LTS:

samba 2: 4.3.11 + dfsg-0ubuntu0.16.04.7

Ubuntu 14.04 LTS:

samba 2: 4.3.11 + dfsg-0ubuntu0.14.04.8

Кроме того, USN-3296-2 заявляет, что пользователям 12.04 ESM также доступна исправленная версия:

Ubuntu 12.04 LTS:

samba 2: 3.6.25-0ubuntu0.12.04.11

Другие вопросы по тегам