Hvernig á að laga SambaCry varnarleysi (CVE-2017-7494) í Linux kerfum
Samba hefur lengi verið staðallinn til að veita Windows viðskiptavinum sameiginlega skráa- og prentþjónustu á *nix kerfum. Notað af heimilisnotendum, meðalstórum fyrirtækjum og stórum fyrirtækjum jafnt, er það áberandi lausnin í umhverfi þar sem mismunandi stýrikerfi eru samhliða.
Eins og það gerist því miður með víða notuð verkfæri, eru flestar Samba uppsetningar í hættu á árás sem gæti nýtt þekktan varnarleysi, sem var ekki talinn alvarlegur fyrr en WannaCry lausnarhugbúnaðarárásin kom í fréttirnar fyrir ekki svo löngu síðan.
Í þessari grein munum við útskýra hvað þetta Samba varnarleysi er og hvernig á að vernda kerfin sem þú berð ábyrgð á gegn því. Það fer eftir uppsetningargerð þinni (frá geymslum eða frá uppruna), þú þarft að taka aðra nálgun til að gera það.
Ef þú ert að nota Samba í einhverju umhverfi eða þekkir einhvern sem gerir það, lestu áfram!
Varnarleysið
Gamaldags og óuppfærð kerfi eru viðkvæm fyrir varnarleysi við keyrslu á ytri kóða. Í einföldu máli þýðir þetta að einstaklingur með aðgang að skrifanlegum hlut getur hlaðið upp stykki af handahófskenndum kóða og keyrt hann með rótarheimildum á þjóninum.
Málinu er lýst á vefsíðu Samba sem CVE-2017-7494 og vitað er að það hafi áhrif á Samba útgáfur 3.5 (útgefnar í byrjun mars 2010) og áfram. Óopinberlega hefur það verið nefnt SambaCry vegna líkt með WannaCry: bæði miða við SMB samskiptareglur og eru hugsanlega ormahæfar - sem getur valdið því að það dreifist frá kerfi til kerfis.
Debian, Ubuntu, CentOS og Red Hat hafa gripið til skjótra aðgerða til að vernda notendur sína og hafa gefið út plástra fyrir studdar útgáfur þeirra. Að auki hafa öryggisleiðir einnig verið veittar fyrir þær sem ekki eru studdar.
Er að uppfæra Samba
Eins og fyrr segir eru tvær aðferðir sem þarf að fylgja eftir fyrri uppsetningaraðferð:
Ef þú settir upp Samba úr geymslum dreifingar þinnar.
Við skulum skoða hvað þú þarft að gera í þessu tilfelli:
Gakktu úr skugga um að apt sé stillt til að fá nýjustu öryggisuppfærslurnar með því að bæta eftirfarandi línum við heimildalistann þinn (/etc/apt/sources.list):
deb http://security.debian.org stable/updates main deb-src http://security.debian.org/ stable/updates main
Næst skaltu uppfæra listann yfir tiltæka pakka:
# aptitude update
Að lokum skaltu ganga úr skugga um að útgáfan af samba pakkanum passi við útgáfuna þar sem varnarleysið hefur verið lagað (sjá CVE-2017-7494):
# aptitude show samba
Til að byrja skaltu leita að nýjum tiltækum pakka og uppfæra samba pakkann sem hér segir:
$ sudo apt-get update $ sudo apt-get install samba
Samba útgáfurnar þar sem lagfæringin fyrir CVE-2017-7494 hefur þegar verið beitt eru eftirfarandi:
- 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
- 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
- 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
- 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8
Að lokum skaltu keyra eftirfarandi skipun til að staðfesta að Ubuntu kassi þinn hafi nú rétta Samba útgáfuna uppsetta.
$ sudo apt-cache show samba
The patched Samba útgáfa í EL 7 er samba-4.4.4-14.el7_3. Til að setja það upp skaltu gera
# yum makecache fast # yum update samba
Eins og áður, vertu viss um að þú hafir nú pjattaða Samba útgáfuna:
# yum info samba
Eldri, enn studdar útgáfur af CentOS og RHEL hafa einnig tiltækar lagfæringar. Skoðaðu RHSA-2017-1270 til að fá frekari upplýsingar.
Athugið: Eftirfarandi aðferð gerir ráð fyrir að þú hafir áður byggt Samba frá uppruna. Þú ert mjög hvattur til að prófa það mikið í prófunarumhverfi ÁÐUR en þú setur það upp á framleiðslumiðlara.
Að auki, vertu viss um að taka öryggisafrit af smb.conf skránni áður en þú byrjar.
Í þessu tilviki munum við safna saman og uppfæra Samba frá uppruna líka. Áður en við byrjum verðum við hins vegar að tryggja að öll ósjálfstæði séu áður uppsett. Athugið að þetta getur tekið nokkrar mínútur.
# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto
# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel
Stöðva þjónustuna:
# systemctl stop smbd
Hladdu niður og fjarlægðu upprunann (þar sem 4.6.4 er nýjasta útgáfan þegar þetta er skrifað):
# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz # tar xzf samba-latest.tar.gz # cd samba-4.6.4
Aðeins til upplýsinga, athugaðu tiltæka stillingarvalkosti fyrir núverandi útgáfu með.
# ./configure --help
Þú gætir látið nokkra valmöguleika fylgja með skipuninni hér að ofan ef þeir voru notaðir í fyrri byggingu, eða þú getur valið að fara með sjálfgefna:
# ./configure # make # make install
Að lokum skaltu endurræsa þjónustuna.
# systemctl restart smbd
og staðfestu að þú sért að keyra uppfærðu útgáfuna:
# smbstatus --version
sem ætti að skila 4.6.4.
Almenn sjónarmið
Ef þú ert að keyra óstudda útgáfu af tiltekinni dreifingu og getur ekki uppfært í nýrri af einhverjum ástæðum gætirðu viljað taka eftirfarandi tillögur með í reikninginn:
- Ef SELinux er virkt ertu verndaður!
- Gakktu úr skugga um að Samba hlutir séu tengdir með noexec valkostinum. Þetta kemur í veg fyrir keyrslu á tvöföldum skrám sem búa á uppsettu skráarkerfinu.
Bæta við,
nt pipe support = no
í [alþjóðlega] hlutann í smb.conf skránni þinni og endurræstu þjónustuna. Þú gætir viljað hafa í huga að þetta getur slökkt á sumum virkni í Windows viðskiptavinum, eins og á Samba verkefninu.
Mikilvægt: Vertu meðvituð um að valmöguleikinn \nt pipe support = no myndi slökkva á skráningu hlutabréfa frá Windows viðskiptavinum. Td: Þegar þú slærð inn \10.100.10.2\ úr Windows Explorer á samba þjóni færðu leyfi neitað. Windows biðlarar myndu verður að tilgreina hlutinn handvirkt sem \10.100.10.2\share_name til að fá aðgang að hlutnum.
Í þessari grein höfum við lýst varnarleysinu sem kallast SambaCry og hvernig á að draga úr því. Við vonum að þú getir notað þessar upplýsingar til að vernda kerfin sem þú berð ábyrgð á.
Ef þú hefur einhverjar spurningar eða athugasemdir um þessa grein, ekki hika við að nota formið hér að neðan til að láta okkur vita.