【安全公告】Samba 远程命令执行漏洞风险通告

2017 年 5 月 24 日,Samba 官方发布了 4.6.4 版本,修复了一个严重的远程代码执行漏洞,漏洞编号为 CVE-2017-7494,漏洞影响了 Samba 3.5.0 之后到 4.6.4/4.5.10/4.4.14 中间的所有版本。该漏洞可能会影响开启了 Samba 服务的 Linux 主机,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

漏洞利用条件:
1. 服务器打开了文件/打印机共享端口 445,让其能够在公网上访问
2. 共享文件拥有写入权限
3. 恶意攻击者需猜解 Samba 服务端共享目录的物理路径

注意事项:
1. 请检查青云的防火墙规则,如果打开了 445 等危险端口,建议关闭。其他危险端口参见 【安全公告】Windows 勒索软件病毒风险通告
2. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙,请放心使用。

修复办法:
如果您启用了 Samba 服务,并开放了 445 端口,那么可以考虑通过以下办法修复:
1. 安装补丁或者升级到 Samba 4.6.4/4.5.10/4.4.14 任意版本。
2. 如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在 smb.conf 的 [global] 节点下增加 “nt pipe support = no” 选项,然后重新启动 Samba 服务。

参考资料:
【漏洞预警】Samba远程代码执行漏洞,影响7年前版本
【高危预警】Samba远程代码执行漏洞(CVE-2017-7494)分析

【安全公告】Windows 勒索软件病毒风险通告

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件众多 Windows 系统用户受到影响。

该勒索来自一款名为 “WannaCry” 的软件木马),通过 Windows 系统的 SMB 服务器漏洞进行入侵会导致磁盘文件被病毒加密对用户数据造成严重损失。请可能被漏洞影响的用户仔细阅读本文并做相应的处理。

注意事项

  1. 请检查青云的防火墙规则如果打开了 1351371381394453389 等危险端口建议关闭。
  2.  定期升级微软发布的安全补丁微软已经于 2017 3 14 日发布了 MS17-010安全补丁
  3. 如果必须打开 3389 端口建议仅在必须使用的时候打开其他时间请禁用。推荐您直接使用青云提供的 VNC 来访问此访问方式经过加密保证安全。
  4. 青云的防火墙在默认情况下不会开启这些有风险的端口。所以如果您没有变更过防火墙请放心使用。

参考资料

Microsoft 安全公告 MS17-010 – 严重
WannaCry ransomware used in widespread attacks all over the world
如何看待 5 12 号爆发在各高校的电脑勒索比特币的病毒

【安全公告】Windows 漏洞攻击风险通告

近日曝出一大批 Windows 远程漏洞利用工具被泄漏,会给使用 Windows 主机的用户造成极大的安全隐患。根据目前的情况,Windows Server 的所有版本都可能受到影响。请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

注意事项:
– 请检查青云的防火墙规则,如果打开了 137、139、445、3389 端口,建议关闭
– 如果必须打开 3389 端口,建议在需要使用的时候打开,其他时间请禁用。更推荐的方式是直接使用青云提供的 VNC 来访问,这个是加密并且是安全的
– 青云的防火墙,默认情况下不会开启这些有风险的端口。所以如果你没有变更过防火墙,那么就是安全的

参考资料:
https://zhuanlan.zhihu.com/p/26375989
https://www.theregister.co.uk/2017/04/14/latest_shadow_brokers_data_dump/
https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

Hadoop/HBase/Spark 入侵事件通告

继前一段时间曝出大规模利用 MongoDB 和 ElasticSearch 配置漏洞进行入侵的事件之后,下一个遭遇黑客锁定的目标将包括 Hadoop , 目前已出现灾情。该入侵会给用户的 Hadoop/HBase/Spark 等以 HDFS 为存储的数据造成安全风险,请可能被此安全隐患影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境:

用户自建的未配置安全验证的 Hadoop/HBase/Spark 服务,并在公网上开放了三个产品都用到的 HDFS 端口如 50070 和 HBase 的Rest服务端口如 8000。或者通过端口转发,将青云 QingCloud 提供的 Hadoop/HBase/Spark 服务的端口通过路由器、VPC 转发,曝露到公网。

入侵现象:
  • Hadoop/HBase/Spark 数据被清空
  • 留信息勒索比特币
修复办法:
  • 禁止公网开放 Hadoop/HBase/Spark 端口,例如可以在青云 QingCloud 防火墙上禁用 Hadoop/HBase/Spark 的端口,例如 50070 和8000
  • 如果对 Hadoop/HBase/Spark  的端口在路由器、VPC 上进行了端口转发,请删除该转发规则
温馨提示:

青云 QingCloud 提供的 Hadoop/HBase/Spark 服务是运行在私有网络中的,如果用户没有主动设置端口转发将 Hadoop/HBase/Spark  端口在公网曝露,不会受到该安全隐患的影响,请用户放心使用。另外,对于从大数据 Client 客户端主机直接访问 Hadoop/HBase/Spark 集群的用户,也强烈建议将 Client 主机的访问方式由密码改为 SSH Key访问以杜绝其它安全漏洞。

另外,有任何其他问题可以工单与我们联系。

映像安全更新提示

针对近日曝出的openSSL安全漏洞问题,我们已经更新了受影响的系统映像。大家创建的新主机,都将自动获得安全更新。旧的映像已经被禁用,请大家放心使用。

一、这次更新的系统映像及已经安装的补丁如下:

1) centos65x64b

# rpm -qi openssl
Name : openssl Relocations: (not relocatable)
Version : 1.0.1e Vendor: CentOS
Release : 16.el6_5.7 Build Date: Tue 08 Apr 2014 10:43:19 AM CST

2) wheezyx86b & wheezyx64c

# dpkg -l | grep openssl
ii openssl 1.0.1e-2+deb7u6 amd64 Secure Socket Layer (SSL) binary and related cryptographic tools

3) precise4x64a & saucysrvx64b

# dpkg -l | grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools

# dpkg -l | grep libssl
ii libssl1.0.0 1.0.1-4ubuntu5.12 SSL shared libraries

4) opensuse12x64b

# rpm -qi openssl
Name : openssl
Version : 1.0.1e
Release : 1.44.1

5) fedora20x64b

# rpm -qi openssl
Name : openssl
Version : 1.0.1e
Release : 37.fc20.1

二、对于已经在使用的主机,可以通过更新openSSL来获得安全补丁,具体可参见:

https://log.qingcloud.com/?p=310

QingCloud 技术团队

重要安全通告

近日OpenSSL曝出重大安全漏洞,会给HTTPS站点带来安全风险,请被漏洞影响的用户尽快升级到OpenSSL的最新版本。(HTTP 站点和SSH登陆不会受到此漏洞的影响)

1)您可以通过以下地址检测您的HTTPS网站是否存在该漏洞:
http://possible.lv/tools/hb/

2)对于存在漏洞的主机,修复方式为:

Debian/Ubuntu:
# apt-get update
# apt-get install openssl libssl1.0.0

CentOS:
# yum update openssl

openSUSE:
# zypper in -t patch openSUSE-2014-277

3)修复完毕后,务必要重启 web 服务,Apache/Nginx/Httpd的重启方式分别如下:
# /etc/init.d/apache2 restart
# /etc/init.d/ngnix restart
# /etc/init.d/httpd restart

如果你不确定有哪些服务需要重启,你可以重启整台主机。重启完毕后,可以通过之前的检测链接进行验证。操作过程中如有任何疑问,可以通过工单与我们进行联系。

4)我们已经更新了被漏洞影响的系统模板,大家使用新模板创建的主机都将自动获得安全更新。
https://log.qingcloud.com/?p=318

5)关于漏洞的更多详情可以参见:
http://drops.wooyun.org/papers/1381
http://www.freebuf.com/vuls/31339.html

QingCloud 技术团队