Giunsa ang Pag-ayo sa SambaCry Vulnerability (CVE-2017-7494) sa Linux Systems

Ang Samba dugay nang nahimong sumbanan sa paghatag og shared file ug print services sa mga kliyente sa Windows sa *nix systems. Gigamit sa mga tiggamit sa balay, tunga-tunga sa gidak-on nga mga negosyo, ug mga dagkong kompanya, kini ang nag-una nga solusyon sa mga palibot diin nag-uban ang lainlaing mga operating system.

Ingon nga kini makapasubo nga nahitabo sa kaylap nga gigamit nga mga himan, kadaghanan sa mga instalasyon sa Samba naa sa peligro sa usa ka pag-atake nga mahimong pahimuslan ang usa ka nahibal-an nga kahuyangan, nga wala giisip nga seryoso hangtod nga ang pag-atake sa WannaCry ransomware naigo sa balita dili pa dugay.

Sa kini nga artikulo, among ipasabut kung unsa kini nga pagkahuyang sa Samba ug kung giunsa pagpanalipod ang mga sistema nga ikaw ang responsable batok niini. Depende sa imong tipo sa pag-install (gikan sa mga repositoryo o gikan sa gigikanan), kinahanglan nimo nga mogamit usa ka lahi nga pamaagi aron mahimo kini.

Kung nagagamit ka karon sa Samba sa bisan unsang palibot o nakaila sa usa nga nagbuhat niini, basaha!

Ang Pagkahuyang

Ang mga outdated ug unpatched nga mga sistema bulnerable sa usa ka remote code execution vulnerability. Sa yano nga mga termino, kini nagpasabut nga ang usa ka tawo nga adunay access sa usa ka masulat nga bahin mahimong mag-upload sa usa ka piraso sa arbitraryong code ug ipatuman kini nga adunay mga pagtugot sa gamut sa server.

Ang isyu gihulagway sa Samba website isip CVE-2017-7494 ug nahibal-an nga makaapekto sa Samba nga bersyon 3.5 (gipagawas sa sayong bahin sa Marso 2010) ug sa unahan. Dili opisyal, ginganlan kini og SambaCry tungod sa pagkaparehas niini sa WannaCry: pareho nga target ang SMB protocol ug posibleng wormable - nga mahimong hinungdan sa pagkaylap niini gikan sa sistema ngadto sa sistema.

Ang Debian, Ubuntu, CentOS ug Red Hat mihimo og paspas nga aksyon aron mapanalipdan ang mga tiggamit niini ug nagpagawas og mga patch alang sa ilang gisuportahan nga mga bersyon. Dugang pa, ang mga solusyon sa seguridad gihatag usab alang sa mga dili suportado.

Pag-update sa Samba

Sama sa gihisgutan sa sayo pa, adunay duha ka mga pamaagi nga sundon depende sa miaging pamaagi sa pag-instalar:

Kung imong gi-install ang Samba gikan sa mga repositoryo sa imong pag-apod-apod.

Atong tan-awon kung unsa ang kinahanglan nimong buhaton sa kini nga kaso:

Siguroha nga ang apt gitakda aron makuha ang pinakabag-o nga mga update sa seguridad pinaagi sa pagdugang sa mosunod nga mga linya sa imong lista sa tinubdan (/etc/apt/sources.list):

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

Sunod, i-update ang lista sa magamit nga mga pakete:

# aptitude update

Sa katapusan, siguroha nga ang bersyon sa samba nga pakete mohaum sa bersyon diin ang pagkahuyang naayo (tan-awa ang CVE-2017-7494):

# aptitude show samba

Sa pagsugod, susiha ang bag-ong available nga mga package ug i-update ang samba package sama sa mosunod:

$ sudo apt-get update
$ sudo apt-get install samba

Ang mga bersyon sa Samba diin ang pag-ayo alang sa CVE-2017-7494 gipadapat na mao ang mga musunud:

  • 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
  • 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
  • 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
  • 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

Sa katapusan, pagdagan ang mosunud nga mando aron mapamatud-an nga ang imong kahon sa Ubuntu karon adunay husto nga bersyon sa Samba nga na-install.

$ sudo apt-cache show samba

Ang patched Samba nga bersyon sa EL 7 mao ang samba-4.4.4-14.el7_3. Aron ma-install kini, buhata

# yum makecache fast
# yum update samba

Sama sa kaniadto, siguroha nga naa na nimo ang patched nga bersyon sa Samba:

# yum info samba

Ang mga tigulang, gisuportahan gihapon nga mga bersyon sa CentOS ug RHEL adunay magamit nga mga pag-ayo usab. Susiha ang RHSA-2017-1270 aron mahibal-an ang dugang.

Mubo nga sulat: Ang mosunod nga pamaagi nagdahum nga imong gitukod kaniadto ang Samba gikan sa tinubdan. Gidasig ka pag-ayo nga sulayan kini pag-ayo sa usa ka palibot sa pagsulay sa wala pa i-deploy kini sa usa ka server sa produksiyon.

Dugang pa, siguroha nga imong i-back up ang smb.conf file sa dili ka pa magsugod.

Sa kini nga kaso, among i-compile ug i-update ang Samba gikan sa gigikanan usab. Sa wala pa kita magsugod, bisan pa, kinahanglan naton sigurohon nga ang tanan nga mga dependency na-install kaniadto. Timan-i nga kini mahimong molungtad og pipila ka minuto.

# aptitude install acl attr autoconf bison build-essential \
    debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
    libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
    libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
    libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
    libpopt-dev libreadline-dev perl perl-modules pkg-config \
    python-all-dev python-dev python-dnspython python-crypto xsltproc \
    zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
    libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
    perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
    python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
    libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
    pam-devel popt-devel python-devel readline-devel zlib-devel

Hunonga ang serbisyo:

# systemctl stop smbd

I-download ug i-untar ang tinubdan (nga ang 4.6.4 mao ang pinakabag-o nga bersyon sa panahon sa pagsulat niini):

# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
# tar xzf samba-latest.tar.gz
# cd samba-4.6.4

Alang sa mga katuyoan sa kasayuran lamang, susiha ang magamit nga mga kapilian sa pag-configure alang sa karon nga pagpagawas sa.

# ./configure --help

Mahimo nimong iapil ang pipila nga mga kapilian nga gibalik sa mando sa ibabaw kung gigamit kini sa miaging pagtukod, o mahimo nimong pilion nga moadto sa default:

# ./configure
# make
# make install

Sa katapusan, i-restart ang serbisyo.

# systemctl restart smbd

ug pamatud-i nga imong gipadagan ang updated nga bersyon:

# smbstatus --version

nga kinahanglan mobalik 4.6.4.

Kinatibuk-ang mga Konsiderasyon

Kung nagpadagan ka ug dili suportadong bersyon sa gihatag nga pag-apod-apod ug dili ka maka-upgrade sa usa ka bag-o sa usa ka hinungdan, mahimo nimong tagdon ang mosunod nga mga sugyot:

  • Kung gipagana ang SELinux, protektado ka!
  • Siguruha nga ang mga bahin sa Samba gi-mount gamit ang kapilian nga noexec. Kini magpugong sa pagpatuman sa mga binary nga nagpuyo sa gi-mount filesystem.

Idugang,

nt pipe support = no

ngadto sa [global] nga seksyon sa imong smb.conf file ug i-restart ang serbisyo. Mahimo nimong hinumdoman nga kini nga \mahimo nga mag-disable sa pipila ka gamit sa mga kliyente sa Windows, sumala sa proyekto sa Samba.

Importante: Hibaloi nga ang opsyon nga \nt pipe support = no maka-disable sa listahan sa mga share gikan sa mga kliyente sa Windows. Eg: Kung imong i-type ang \\10.100.10.2\ gikan sa Windows Explorer sa samba server makadawat ka og permiso dili. kinahanglan nga mano-mano nga ipiho ang bahin ingon \\10.100.10.2\share_name aron ma-access ang bahin.

Niini nga artikulo, among gihulagway ang kahuyang nga nailhan nga SambaCry ug kung giunsa kini maminusan. Kami nanghinaut nga magamit nimo kini nga kasayuran aron mapanalipdan ang mga sistema nga imong responsable.

Kung naa kay pangutana o komento bahin sa kini nga artikulo, palihug gamita ang porma sa ubos aron ipahibalo kanamo.