我读过这两个帖子:
我有点担心,我的 Ubuntu 机器安全吗?或者我是否容易受到此漏洞的影响?
第二篇文章提到:
该缺陷实际上存在于 Samba 处理共享库的方式中。
他们还说,自 2010 年起,3.5.0 版及以上的所有版本都存在此漏洞。
当时,有近48.5万台支持Samba的计算机被发现暴露在互联网上,研究人员预测基于SambaCry的攻击也有可能像勒索病毒WannaCry一样广泛传播。 (这里)。
我没有 samba 服务器但是我已经samba-libs安装了包。
如果有的话我应该做什么?
我正在运行 Ubuntu 16.04。
答案1
首先,您应该有一个正在运行的 Samba 服务器,以防您没有这个漏洞。
该漏洞目前已被修复,其 CVE-ID 为:“CVE-2017-7494“:
Samba 自 3.5.0 版本开始存在远程代码执行漏洞,允许恶意客户端将共享库上传到可写共享,然后导致服务器加载并执行它。
因此,如果您还没有进行系统升级,那么您应该进行系统升级,这样您就可以安全地继续了。
检查你的apt's“历史记录”以查看你的 Ubuntu 最近是否收到了任何 samba 或其库的升级。
grep -B10 samba- /var/log/apt/history.log
为确保您获得最新更新,请使用:
sudo apt update
sudo apt upgrade
还可使用:
apt changelog samba
或者aptitude changelog samba如果你正在运行旧版本的 Ubuntu,则可以获取此软件包中的最新更改列表,如果你留意的话,你会看到:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium
* SECURITY UPDATE: remote code execution from a writable share
- debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
slash inside in source3/rpc_server/srv_pipe.c.
- CVE-2017-7494
关注版本:”2:4.3.11+dfsg-0ubuntu0.16.04.7",然后使用:
$ dpkg -l samba* | awk "( !(/none/) && /^ii/ )"
ii samba-libs:amd64 2:4.3.11+dfsg-0ubuntu0.16.04.7 amd64 Samba core libraries
查看您是否安装了修补版本。
额外步骤
如果您真的很偏执,请获取源代码的副本,例如:
apt source --download samba-libs
它将下载相应的源代码和所有补丁,提取源代码并应用补丁。
然后转到:
head /path-to-extract/samba-4.3.11+dfsg/debian/changelog
你会看到同样的东西,apt changelog samba你甚至可以寻找补丁本身:
cat /home/ravexina/samba-4.3.11+dfsg/debian/patches/CVE-2017-7494.patch
+ if (strchr(pipename, '/')) {
+ DEBUG(1, ("Refusing open on pipe %s\n", pipename));
+ return false;
+ }
+
如果您愿意的话,甚至可以编译并安装它。
如果你感兴趣的话,可以查看 cve-2017-7494 的概念证明这里。
答案2
与 CVE 相关的 Ubuntu 安全通知列出了受影响的 Ubuntu 版本和应用了补丁的软件包版本。来自USN-3296-1:
通过将系统更新至以下软件包版本可以解决此问题:
Ubuntu 17.04:
samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
Ubuntu 16.10:
samba 2:4.4.5+dfsg-2ubuntu5.6
Ubuntu 16.04 LTS:
samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
Ubuntu 14.04 LTS:
samba 2:4.3.11+dfsg-0ubuntu0.14.04.8
此外,USN-3296-2指出 12.04 ESM 用户也可以使用修补版本:
Ubuntu 12.04 LTS:
samba 2:3.6.25-0ubuntu0.12.04.11