2017年5月24日Samba服务器软件发布了最新的4.6.4版本，修复了一个严重的远程代码执行漏洞，漏洞编号为CVE-2017-7494。360网络安全中心和 360信息安全部的Gear Team第一时间对该漏洞进行了分析，在有低权限账号登录到系统并且有可写共享的条件下，可以造成服务器以root用户权限执行攻击指定的恶意代码。此漏洞在通常的Samba服务器场景下，导致权限提升攻击，在某些默认权限配置松懈的NAS系统中可能导致远程命令执行，需要尽快采取应对措施。

小科普：什么是Samba？

  Samba是在Linux和Unix系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源，还能与全世界的电脑分享资源。

  一、风险等级

  360安全监测与响应中心风险评级为：严重

  二、影响范围

  此漏洞影响Samba 3.5.0 及以后的版本，在4.6.4、4.5.10、4.4.14及以后的版本中被修复。

  受影响的版本：

  Samba 版本 >= 3.5.0

  不受影响的版本：

  Samba 版本 >= 4.6.4

  Samba版本 >= 4.5.10

  Samba版本 >= 4.4.14

  三、应急处置手段

  360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作：

  1.使用源码安装的Samba用户，请尽快下载最新的Samba版本手动更新；

  2.使用二进制分发包（RPM等方式）的用户立即进行yum，apt-get update等安全更新操作。

  3.360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对上述相关漏洞的防护。建议用户尽快将IPS特征库升级至“20170525”版本并启用规则ID：50793进行防护。

  360新一代智慧防火墙配置截图

  下一代极速防火墙配置截图

  4.360天眼未知威胁感知系统的流量探针已第一时间加入了对该漏洞（CVE-2017-7494）的支持。建议用户尽快将流量探针的规则引擎升级至最新版本：3.0.0525.10457，对应规则ID: 0x4a61。对于发现的攻击，可以在360天眼分析平台上实时看到相应告警。

  请在系统配置->设备升级->规则升级，点击“网络升级”或者“本地升级”

  相关步骤截图

  四、快速应急处置建议

  用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项，然后重新启动samba服务，以此达到缓解该漏洞的效果。

  五、官方建议

  Samba官方已经提供了新版本来修复上述漏洞，请受影响的用户尽快升级到新版本，下载链接如下：

  https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz

  https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz

  https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz

转载请注明出处 AE博客|墨渊 » Linux Samba远程代码执行漏洞警报