【预警】Samba远程代码执行漏洞紧急处置通告

admin 2022年4月30日20:22:02安全漏洞评论21 views1592字阅读5分18秒阅读模式
【预警】Samba远程代码执行漏洞紧急处置通告

【预警】Samba远程代码执行漏洞紧急处置通告

2017年5月24日Samba服务器软件发布了最新的4.6.4版本,修复了一个严重的远程代码执行漏洞,漏洞编号为CVE-2017-7494。360网络安全中心和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,在有低权限账号登录到系统并且有可写共享的条件下,可以造成服务器以root用户权限执行攻击指定的恶意代码。此漏洞在通常的Samba服务器场景下,导致权限提升攻击,在某些默认权限配置松懈的NAS系统中可能导致远程命令执行,需要尽快采取应对措施。



小科普:什么是Samba?

【预警】Samba远程代码执行漏洞紧急处置通告

Samba是在Linux和Unix系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。


一、风险等级


【预警】Samba远程代码执行漏洞紧急处置通告 

360安全监测与响应中心风险评级为:严重


二、影响范围

【预警】Samba远程代码执行漏洞紧急处置通告 

此漏洞影响Samba 3.5.0 及以后的版本,在4.6.4、4.5.10、4.4.14及以后的版本中被修复。


影响的版本:

Samba 版本 >= 3.5.0


不受影响的版本:

Samba 版本 >= 4.6.4

Samba版本 >= 4.5.10

Samba版本 >= 4.4.14


三、应急处置手段

【预警】Samba远程代码执行漏洞紧急处置通告 

360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作:


1.使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;

2.使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作。

3.360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对上述相关漏洞的防护。建议用户尽快将IPS特征库升级至“20170525”版本并启用规则ID:50793进行防护。


【预警】Samba远程代码执行漏洞紧急处置通告

360新一代智慧防火墙配置截图

【预警】Samba远程代码执行漏洞紧急处置通告

下一代极速防火墙配置截图


4.360天眼未知威胁感知系统的流量探针已第一时间加入了对该漏洞(CVE-2017-7494)的支持。建议用户尽快将流量探针的规则引擎升级至最新版本:3.0.0525.10457,对应规则ID: 0x4a61。对于发现的攻击,可以在360天眼分析平台上实时看到相应告警。


【预警】Samba远程代码执行漏洞紧急处置通告


请在系统配置->设备升级->规则升级,点击“网络升级”或者“本地升级”

【预警】Samba远程代码执行漏洞紧急处置通告

相关步骤截图

四、快速应急处置建议

【预警】Samba远程代码执行漏洞紧急处置通告 

用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务,以此达到缓解该漏洞的效果。


五、官方建议

【预警】Samba远程代码执行漏洞紧急处置通告 

Samba官方已经提供了新版本来修复上述漏洞,请受影响的用户尽快升级到新版本,下载链接如下:

https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz

https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz






【预警】Samba远程代码执行漏洞紧急处置通告

【预警】Samba远程代码执行漏洞紧急处置通告

▲360发布国内首个业务安全解决方案 1个月限时免费试用

【预警】Samba远程代码执行漏洞紧急处置通告

▲360企业安全集团总裁吴云坤:不做别人做过的事

【预警】Samba远程代码执行漏洞紧急处置通告

▲企业安全武汉研发中心开始招人啦!

【预警】Samba远程代码执行漏洞紧急处置通告


喜欢的话

记得点关注

哦~







原文始发于微信公众号(奇安信集团):【预警】Samba远程代码执行漏洞紧急处置通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月30日20:22:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【预警】Samba远程代码执行漏洞紧急处置通告 http://cn-sec.com/archives/616789.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: