科技网

当前位置: 首页 >数码

Linux版永久之蓝来袭360发布Sam

数码
来源: 作者: 2019-05-17 01:55:33

笔尖上的舞蹈设计师的专属笔记本
贴吧粉丝节结果出炉帝吧稳占最热网友俱乐部
三星15年前就推出能打电话的手表仍打不败

Samba是开源共享服务软件,被广泛运用在各种Linux和UNIX系统上,类似于Windows上的SMB服务。最近肆虐的 永久之蓝 专门攻打Windows的SMB漏洞,此次我校民族学被确定为湖南省优势特色重点学科
Samba曝出远程代码执行漏洞主要威逼Linux服务器,一些NAS络存储产品也遭到影响,360提示相关用户尽快进行安全更新。 概述

2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-,漏洞影响了Samba 3.5.0 以后和包括4.6.4/4.5.10/4.4.14在内的版本。360络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。

技术分析

如官方所描写,该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默许是root用户执行的)。

从Patch来看的话,is_known_pipename函数的pipename中存在路径符号会有问题:<新员工为面子喝白酒一斤当场喝到口吐白沫
/p>

再延伸下smb_probe_module函数中就会构成公告里说的加载攻击者上传的dll来任意履行代码了:

具体攻击过程:

1. 构造一个有 / 符号的管道名或路径名,如 /home/toor/

2. 通过smb的协议主动让服务器smb返回该FID

3. 后续直接请求这个FID就进入上面所说的恶意流程

具体攻击结果以下:

1. 尝试加载 /home/toor/ 歹意so

2. 其中so 代码如下(加载时会调用 samba_init_module 导出函数)

3. 最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)

解决方案

360络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作,

1. 使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新;

2. 使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作;

缓解策略:用户可以通过在nf的[global]节点下增加 nt pipe support = no 选项,然后重新启动samba在曼谷遭遇泰国军警
服务, 以此达到缓解该漏洞的效果。

婴儿感冒药
治疗宝宝感冒小妙招
2个月宝宝感冒小妙招

相关推荐