文学城论坛
+A-

Samba 漏洞是Linux 版“永恒之蓝”?看安全人员怎么说

netsoldier 2017-05-25 18:54:14 ( reads)

雷锋网消息,5月25日,360 技术博客发布了一则博文称,5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。

Samba是在Linux和UNIX系统上实现SMB协议的一个软件,因此,有人称,这是Linux版“永恒之蓝”。这种说法真的准确吗?

360安全研究人员蔡玉光对雷锋网表示,应该没有“永恒之蓝”对Windows 系统产生的影响那么大,原因在于,该漏洞需要通过一个可写入的Samba用户权限提权到samba所在服务器的root权限,samba默认是root用户执行的。

安全研究人员、“qz安全情报分析”公号主宋申雷在朋友圈称(雷锋网已获宋本人授权发布):

我想这个“桑巴惊魂”漏洞再精准的一句话描叙是指定一个管道符就能加载本地的so执行,所以关键攻击条件是管道符的参数需要一个本地绝对路径,一个低权限用户可以将so写到自己home目录构造本地绝对路径,或者将so传到可写共享目录猜出来绝对路径。ps:有误各位再指正,除非这里支持远程unc路径,那就变得和windows上的远程dll劫持一样,就是不知道Linux上有木有这个远程lib加载特性。

 

 

安全研究人员余弦在转发了360对“桑巴”的分析技术文章与漏洞来源文章后,评论认为:“暂时不清楚 SAMBA 这个利用上是否不复杂。又是 SMB,又是 445 端口的远程利用,不过这次影响的是 Linux/Unix,NAS 设备可能是重灾区。无论利用是复杂还是不复杂,Linux/Unix 的用户打补丁吧。”(雷锋网已获余弦授权。)

在360的技术博文中,也有相关建议:建议使用受影响版本的用户立即通过以下方式来进行安全更新操作:使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作;缓解策略:用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务, 以此达到缓解该漏洞的效果。

附:

漏洞来源:https://www.samba.org/samba/security/CVE-2017-7494.html

360 的分析:http://blogs.360.cn/blog/samba远程代码执行漏洞cve-2017-7494分析/

跟帖(9)

hot_powerz

2017-05-25 21:13:48

从分析上看,这个漏洞的危害级别很高,不过SAMBA服务在LINUX只有服务器才有。所以是管理员的事。

davidhu1999

2017-05-26 06:19:23

什么系统的漏洞是不具有管理员权限的人的事?

hot_powerz

2017-05-26 07:59:24

我是指LINUX的桌面机或一般的工作站或终端,没有这个服务。

davidhu1999

2017-05-26 08:02:56

只是没有enable而已。一般用linux的人,这个能力还是有的,只要需要,自己就enable了。

keessa

2017-05-26 12:13:20

桌面机如果需要和其他windows,mac共享文件时候就要开启samba

hot_powerz

2017-05-26 12:42:17

不知道LINUX里面的文件共享是否也分客户端与服务器端,像WINDOWS那样可以分别启用。懂的说下。

keessa

2017-05-26 13:02:39

是的. windows,macos,linux三家在共享文件上,方式差不多

keessa

2017-05-26 12:10:57

写的有点哗众取宠, 首先有漏洞的samba版本是七年前的,也就是说问题存在很长时间了。

hot_powerz

2017-05-26 12:39:30

那个什么蓝的WIN漏洞也是很久了,但被人为隐藏作为网络武器才造成这次的全球事件。