雷鋒網消息,5月25日,360 技術博客發布了一則博文稱,5月24日Samba發布了4.6.4版本,中間修複了一個嚴重的遠程代碼執行漏洞,漏洞編號CVE-2017-7494,漏洞影響了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中間的版本。360網絡安全中心 和 360信息安全部的Gear Team第一時間對該漏洞進行了分析,確認屬於嚴重漏洞,可以造成遠程代碼執行。
Samba是在Linux和UNIX係統上實現SMB協議的一個軟件,因此,有人稱,這是Linux版“永恒之藍”。這種說法真的準確嗎?
360安全研究人員蔡玉光對雷鋒網表示,應該沒有“永恒之藍”對Windows 係統產生的影響那麽大,原因在於,該漏洞需要通過一個可寫入的Samba用戶權限提權到samba所在服務器的root權限,samba默認是root用戶執行的。
安全研究人員、“qz安全情報分析”公號主宋申雷在朋友圈稱(雷鋒網已獲宋本人授權發布):
我想這個“桑巴驚魂”漏洞再精準的一句話描敘是指定一個管道符就能加載本地的so執行,所以關鍵攻擊條件是管道符的參數需要一個本地絕對路徑,一個低權限用戶可以將so寫到自己home目錄構造本地絕對路徑,或者將so傳到可寫共享目錄猜出來絕對路徑。ps:有誤各位再指正,除非這裏支持遠程unc路徑,那就變得和windows上的遠程dll劫持一樣,就是不知道Linux上有木有這個遠程lib加載特性。
安全研究人員餘弦在轉發了360對“桑巴”的分析技術文章與漏洞來源文章後,評論認為:“暫時不清楚 SAMBA 這個利用上是否不複雜。又是 SMB,又是 445 端口的遠程利用,不過這次影響的是 Linux/Unix,NAS 設備可能是重災區。無論利用是複雜還是不複雜,Linux/Unix 的用戶打補丁吧。”(雷鋒網已獲餘弦授權。)
在360的技術博文中,也有相關建議:建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作:使用源碼安裝的Samba用戶,請盡快下載最新的Samba版本手動更新;使用二進製分發包(RPM等方式)的用戶立即進行yum,apt-get update等安全更新操作;緩解策略:用戶可以通過在smb.conf的[global]節點下增加 nt pipe support = no 選項,然後重新啟動samba服務, 以此達到緩解該漏洞的效果。
附:
漏洞來源:https://www.samba.org/samba/security/CVE-2017-7494.html
360 的分析:http://blogs.360.cn/blog/samba遠程代碼執行漏洞cve-2017-7494分析/
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
