【セキュリティ】LinuxのSambaサーバにある脆弱性「SambaCry」を狙うマルウェアが増加しているようです #セキュリティ #脆弱性 #CVE

スポンサーリンク

コンテンツ

対策しておいたほうが良いかもしれません。

脆弱性の概要

Samba since version 3.5.0 is vulnerable to remote code execution vulnerability, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it.

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7494より

適当な翻訳
Samba バージョン3.5.0以降のものにはリモードコードが実行できてしまう脆弱性があります。この脆弱性は、クライアントが悪意のあるファイルを共有ライブラリに書き込むことを許可し、サーバがそれをロードすることによる脆弱性です。

CVE

CVEは2017-7494です。
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7494

影響を受けるバージョン

Samba バージョン3.5.0以降の全てのバージョン

対応策

Ubuntu14.04 Server

以下のコマンドを実行するとOKです.Ubuntuのsambaを最新のものにアップグレードします

sudo apt-get update
sudo apt-get upgrade

対応できたかどうかの確認

まず、以下のコマンドを実行します。

sudo apt-get changelog samba

次に、以下のように表示されるとsambaのセキュリティアップデートが正しく行われています。
上記CVE 2017-7494への対応(patch)が適用されたとログに書かれています。

samba (2:4.3.11+dfsg-0ubuntu0.14.04.8) trusty-security; urgency=medium

  * SECURITY UPDATE: remote code execution from a writable share
    - debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
      slash inside in source3/rpc_server/srv_pipe.c.
    - CVE-2017-7494

CentOSなど、他のLinuxでのやりかたは、たぶん他の誰かが書いてくれていると思います。
サーバのUbuntuの情報は少なさそうなので、自分が書いておきました。

回避策

何らかの理由により、Sambaのバージョンアップができない場合は以下をSambaの設定ファイルに追加してください

nt pipe support = no

https://www.samba.org/samba/security/CVE-2017-7494.htmlより

参考URL

順不同、謝辞m(_ _)m
https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7494
https://askubuntu.com/questions/924181/is-my-ubuntu-vulnerable-to-sambacry
http://qiita.com/nekoruri/items/22a7f29b4cab5342b182