雷锋网消息,5月25日,360 技术博客发布了一则博文称,5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。
Samba是在Linux和UNIX系统上实现SMB协议的一个软件,因此,有人称,这是Linux版“永恒之蓝”。这种说法真的准确吗?
360安全研究人员蔡玉光对雷锋网表示,应该没有“永恒之蓝”对Windows 系统产生的影响那么大,原因在于,该漏洞需要通过一个可写入的Samba用户权限提权到samba所在服务器的root权限,samba默认是root用户执行的。
安全研究人员、“qz安全情报分析”公号主宋申雷在朋友圈称(雷锋网已获宋本人授权发布):
我想这个“桑巴惊魂”漏洞再精准的一句话描叙是指定一个管道符就能加载本地的so执行,所以关键攻击条件是管道符的参数需要一个本地绝对路径,一个低权限用户可以将so写到自己home目录构造本地绝对路径,或者将so传到可写共享目录猜出来绝对路径。ps:有误各位再指正,除非这里支持远程unc路径,那就变得和windows上的远程dll劫持一样,就是不知道Linux上有木有这个远程lib加载特性。
安全研究人员余弦在转发了360对“桑巴”的分析技术文章与漏洞来源文章后,评论认为:“暂时不清楚 SAMBA 这个利用上是否不复杂。又是 SMB,又是 445 端口的远程利用,不过这次影响的是 Linux/Unix,NAS 设备可能是重灾区。无论利用是复杂还是不复杂,Linux/Unix 的用户打补丁吧。”(雷锋网已获余弦授权。)
在360的技术博文中,也有相关建议:建议使用受影响版本的用户立即通过以下方式来进行安全更新操作:使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作;缓解策略:用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务, 以此达到缓解该漏洞的效果。
附:
漏洞来源:https://www.samba.org/samba/security/CVE-2017-7494.html
360 的分析:http://blogs.360.cn/blog/samba远程代码执行漏洞cve-2017-7494分析/