2017年5月24日Samba服務器軟件發布了最新的4.6.4版本，修復了一個嚴重的遠程代碼執行漏洞，漏洞編號為CVE-2017-7494。360網絡安全中心和 360信息安全部的Gear Team第一時間對該漏洞進行了分析，在有低權限賬號登錄到系統并且有可寫共享的條件下，可以造成服務器以root用戶權限執行攻擊指定的惡意代碼。此漏洞在通常的Samba服務器場景下，導致權限提升攻擊，在某些默認權限配置松懈的NAS系統中可能導致遠程命令執行，需要盡快采取應對措施。

小科普：什么是Samba？

  Samba是在Linux和Unix系統上實現SMB協議的一個免費軟件，由服務器及客戶端程序構成。SMB（Server Messages Block，信息服務塊）是一種在局域網上共享文件和打印機的一種通信協議，它為局域網內的不同計算機之間提供文件及打印機等資源的共享服務。SMB協議是客戶機/服務器型協議，客戶機通過該協議可以訪問服務器上的共享文件系統、打印機及其他資源。通過設置“NetBIOS over TCP/IP”使得Samba不但能與局域網絡主機分享資源，還能與全世界的電腦分享資源。

  一、風險等級

  360安全監測與響應中心風險評級為：嚴重

  二、影響范圍

  此漏洞影響Samba 3.5.0 及以后的版本，在4.6.4、4.5.10、4.4.14及以后的版本中被修復。

  受影響的版本：

  Samba 版本 >= 3.5.0

  不受影響的版本：

  Samba 版本 >= 4.6.4

  Samba版本 >= 4.5.10

  Samba版本 >= 4.4.14

  三、應急處置手段

  360網絡安全響應中心和360信息安全部建議使用受影響版本的用戶立即通過以下方式來進行安全更新操作：

  1.使用源碼安裝的Samba用戶，請盡快下載最新的Samba版本手動更新；

  2.使用二進制分發包（RPM等方式）的用戶立即進行yum，apt-get update等安全更新操作。

  3.360新一代智慧防火墻（NSG3000/5000/7000/9000系列）和下一代極速防火墻（NSG3500/5500/7500/9500系列）產品系列，已通過更新IPS特征庫完成了對上述相關漏洞的防護。建議用戶盡快將IPS特征庫升級至“20170525”版本并啟用規則ID：50793進行防護。

  360新一代智慧防火墻配置截圖

  下一代極速防火墻配置截圖

  4.360天眼未知威脅感知系統的流量探針已第一時間加入了對該漏洞（CVE-2017-7494）的支持。建議用戶盡快將流量探針的規則引擎升級至最新版本：3.0.0525.10457，對應規則ID: 0x4a61。對于發現的攻擊，可以在360天眼分析平臺上實時看到相應告警。

  請在系統配置->設備升級->規則升級，點擊“網絡升級”或者“本地升級”

  相關步驟截圖

  四、快速應急處置建議

  用戶可以通過在smb.conf的[global]節點下增加 nt pipe support = no 選項，然后重新啟動samba服務，以此達到緩解該漏洞的效果。

  五、官方建議

  Samba官方已經提供了新版本來修復上述漏洞，請受影響的用戶盡快升級到新版本，下載鏈接如下：

  https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz

  https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz

  https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz

轉載請注明出處 AE博客|墨淵 ? Linux Samba遠程代碼執行漏洞警報