Weboldal keresés

A SambaCry biztonsági résének (CVE-2017-7494) kijavítása Linux rendszereken


A Samba régóta szabványa a megosztott fájl- és nyomtatási szolgáltatások nyújtásának a Windows kliensek számára *nix rendszereken. Az otthoni felhasználók, a középvállalkozások és a nagyvállalatok egyaránt használják, így kiváló megoldást jelent olyan környezetekben, ahol különböző operációs rendszerek működnek együtt.

Ahogy az a széles körben használt eszközökkel sajnos megtörténik, a legtöbb Samba-telepítést egy ismert sebezhetőséget kihasználó támadás veszélye fenyegeti, amelyet nem tekintettek komolynak mindaddig, amíg a WannaCry ransomware támadás nem érte el a híreket. régen.

Ebben a cikkben elmagyarázzuk, mi ez a Samba sebezhetősége, és hogyan védheti meg ellene azokat a rendszereket, amelyekért felelős. A telepítés típusától függően (tárolókból vagy forrásból) más megközelítést kell alkalmaznia ehhez.

Ha jelenleg használja a Sambát bármilyen környezetben, vagy ismer valakit, aki használja, olvasson tovább!

A sebezhetőség

Az elavult és javítatlan rendszerek sebezhetőek a távoli kódfuttatással szemben. Leegyszerűsítve ez azt jelenti, hogy egy írható megosztáshoz hozzáféréssel rendelkező személy feltölthet egy tetszőleges kódrészletet, és root jogosultságokkal hajthatja végre a szerveren.

A probléma leírása a Samba webhelyén CVE-2017-7494 néven szerepel, és ismert, hogy a Samba 3.5-ös verzióit (2010. március elején adták ki) és az újabb verziókat érinti. Nem hivatalosan a SambaCry nevet kapta a WannaCry-hez való hasonlósága miatt: mindkettő az SMB protokollt célozza meg, és potenciálisan féregteleníthető – ami miatt rendszerről rendszerre terjedhet.

A Debian, az Ubuntu, a CentOS és a Red Hat gyors lépéseket tett a felhasználók védelme érdekében, és javításokat adott ki támogatott verzióikhoz. Ezenkívül biztonsági megoldások is rendelkezésre állnak a nem támogatottak számára.

Samba frissítése

Mint korábban említettük, az előző telepítési módtól függően két megközelítést kell követni:

Ha a Sambát a disztribúciód tárolóiból telepítette.

Nézzük meg, mit kell tennie ebben az esetben:

Javítsa ki a Sambacry-t Debianban

Győződjön meg arról, hogy az apt a legfrissebb biztonsági frissítések letöltésére van beállítva, ehhez adja hozzá a következő sorokat a forráslistához (/etc/apt/sources.list):

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

Ezután frissítse az elérhető csomagok listáját:

aptitude update

Végül győződjön meg arról, hogy a samba csomag verziója megegyezik azzal a verzióval, amelyben a biztonsági rést kijavították (lásd: CVE-2017-7494):

aptitude show samba

Javítsa ki a Sambacry-t Ubuntuban

Kezdésként ellenőrizze az elérhető új csomagokat, és frissítse a samba csomagot az alábbiak szerint:

sudo apt-get update
sudo apt-get install samba

A következő Samba-verziók, amelyekben a CVE-2017-7494 javítást már alkalmazták:

  • 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
  • 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
  • 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
  • 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

Végül futtassa a következő parancsot annak ellenőrzésére, hogy az Ubuntu-dobozban a megfelelő Samba-verzió telepítve van.

sudo apt-cache show samba

Javítsa ki a Sambacry-t a CentOS/RHEL 7 rendszeren

A Samba javított verziója az EL 7ben a samba-4.4.4-14.el7_3. A telepítéshez tegye

yum makecache fast
yum update samba

Mint korábban, most is győződjön meg arról, hogy a Samba javított verziója van:

yum info samba

A CentOS és RHEL régebbi, még támogatott verzióiban is elérhetők javítások. További információért ellenőrizze az RHSA-2017-1270-t.

Ha forrásból telepítette a Sambát

Megjegyzés: A következő eljárás feltételezi, hogy korábban forrásból építette fel a Sambát. Javasoljuk, hogy alaposan próbálja ki tesztelési környezetben, MIELŐTT üzembe helyezi egy éles kiszolgálón.

Ezenkívül a kezdés előtt mindenképpen készítsen biztonsági másolatot az smb.conf fájlról.

Ebben az esetben a Sambát is forrásból fordítjuk és frissítjük. Mielőtt azonban elkezdenénk, meg kell győződnünk arról, hogy az összes függőséget korábban telepítettük. Vegye figyelembe, hogy ez több percig is eltarthat.

Debianban és Ubuntuban:

aptitude install acl attr autoconf bison build-essential \
    debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
    libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
    libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
    libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
    libpopt-dev libreadline-dev perl perl-modules pkg-config \
    python-all-dev python-dev python-dnspython python-crypto xsltproc \
    zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

CentOS 7 vagy hasonló esetén:

yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
    libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
    perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
    python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
    libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
    pam-devel popt-devel python-devel readline-devel zlib-devel

A szolgáltatás leállítása:

systemctl stop smbd

Töltse le és távolítsa el a forrást (a 4.6.4 volt a legújabb verzió az írás idején):

wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
tar xzf samba-latest.tar.gz
cd samba-4.6.4

Csak tájékoztató jelleggel ellenőrizze az aktuális kiadás elérhető konfigurálási beállításait.

./configure --help

Felveheti a fenti parancs által visszaadott néhány beállítást, ha azokat az előző buildben használták, vagy választhat az alapértelmezett beállítás mellett:

./configure
make
make install

Végül indítsa újra a szolgáltatást.

systemctl restart smbd

és ellenőrizze, hogy a frissített verziót futtatja:

smbstatus --version

amelynek vissza kell adnia a 4.6.4-et.

Általános megfontolások

Ha egy adott disztribúció nem támogatott verzióját futtatja, és valamilyen okból nem tud frissíteni egy újabbra, érdemes figyelembe venni a következő javaslatokat:

  • Ha a SELinux engedélyezve van, Ön védett!
  • Győződjön meg arról, hogy a Samba megosztások a noexec opcióval vannak csatlakoztatva. Ez megakadályozza a csatlakoztatott fájlrendszerben található binárisok végrehajtását.

Hozzáadás,

nt pipe support = no

az smb.conf fájl [global] szakaszába, és indítsa újra a szolgáltatást. Érdemes szem előtt tartani, hogy a Samba projekt szerint ez „lekapcsolhat bizonyos funkciókat a Windows kliensekben”.

Fontos: Ügyeljen arra, hogy az „nt pipe support=no ” opció letiltja a Windows-kliensek megosztási listáját. Pl.: Ha beírja a következőt: \\10.100.10.2\ a Windows Intézőből egy samba kiszolgálón, akkor megtagadja az engedélyt. A Windows-ügyfeleknek manuálisan kell megadniuk a megosztást a következővel: \\10.100.10.2\share_name a megosztás eléréséhez.

Összegzés

Ebben a cikkben ismertettük a SambaCry néven ismert sebezhetőséget és annak enyhítését. Reméljük, hogy ezeket az információkat fel tudja használni azon rendszerek védelmére, amelyekért felelős.

Ha bármilyen kérdése vagy megjegyzése van ezzel a cikkel kapcsolatban, használja az alábbi űrlapot, és tudassa velünk.