【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析