Mon Ubuntu est-il vulnérable à SambaCry?
J'ai lu ces deux discussions:
- Attention! Les pirates ont commencé à utiliser "SambaCry Flaw" pour pirater des systèmes Linux
- ne faille Samba de 7 ans permet aux pirates d'accéder à des milliers de PC Linux à distance
Et je me suis un peu inquiété, ma machine Ubuntu est-elle en sécurité? Ou suis-je vulnérable à cette vulnérabilité?
Le deuxième article mentionnait que:
La faille réside en fait dans la façon dont Samba a géré les bibliothèques partagées.
L'autre chose qu'ils disent, c'est que toutes les versions à partir de la version 3.5.0 depuis 2010 sont vulnérables.
À cette époque, près de 485 000 ordinateurs équipés de Samba étaient exposés sur Internet, et les chercheurs ont prédit que les attaques basées sur SambaCry pourraient également se propager, à l'instar du ransomware WannaCry. (ici) .
Je n'ai pas de serveur samba, mais j'ai le paquet samba-libs installé.
Que dois-je faire, le cas échéant?
J'utilise Ubuntu 16.04.
Tout d’abord, vous devriez avoir un serveur samba en marche pour être vulnérable à ce bogue que vous n’avez pas.
Cette vulnérabilité a déjà été corrigée, son CVE-ID est: " CVE-2017-7494 ":
Depuis la version 3.5.0, Samba est vulnérable aux vulnérabilités d'exécution de code à distance, permettant à un client malveillant de télécharger une bibliothèque partagée sur un partage accessible en écriture, puis de charger et d'exécuter le serveur.
Donc, ce que vous devriez faire est une mise à niveau du système si vous ne l’avez pas déjà fait, alors vous êtes en sécurité.
Vérifiez votre apt's "historique" pour voir si votre Ubuntu a récemment reçu une mise à jour de samba ou de ses bibliothèques.
grep -B10 samba- /var/log/apt/history.log
pour vous assurer que vous avez les dernières mises à jour, utilisez:
Sudo apt update
Sudo apt upgrade
Utiliser aussi:
apt changelog samba
ou aptitude changelog samba si vous utilisez une version plus ancienne Ubuntu pour obtenir une liste des dernières modifications apportées à ce paquet, et si vous faites attention, vous verrez:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium
* SECURITY UPDATE: remote code execution from a writable share
- debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
slash inside in source3/rpc_server/srv_pipe.c.
- CVE-2017-7494
Faites attention à la version: " 2: 4.3.11 + dfsg-0ubuntu0.16.04.7 ", puis utilisez:
$ dpkg -l samba* | awk "( !(/none/) && /^ii/ )"
ii samba-libs:AMD64 2:4.3.11+dfsg-0ubuntu0.16.04.7 AMD64 Samba core libraries
pour voir si vous avez installé la version corrigée ou non.
Étapes supplémentaires
Si vous êtes vraiment paranoïa, prenez une copie du code source, par exemple:
apt source --download samba-libs
il téléchargera le code source correspondant et tous les correctifs, extraira la source et appliquera les correctifs.
ensuite aller à:
head /path-to-extract/samba-4.3.11+dfsg/debian/changelog
Vous verrez les mêmes choses que apt changelog samba. vous pouvez même chercher le correctif lui-même:
cat /home/ravexina/samba-4.3.11+dfsg/debian/patches/CVE-2017-7494.patch
+ if (strchr(pipename, '/')) {
+ DEBUG(1, ("Refusing open on pipe %s\n", pipename));
+ return false;
+ }
+
ou même le compiler et l'installer, si vous le souhaitez.
Si vous êtes carieux, vous pouvez voir une preuve de concept pour cve-2017-7494 ici .
L'avis de sécurité Ubuntu associé à CVE contient une liste des versions d'Ubuntu et des versions de paquet affectées auxquelles le correctif a été appliqué. De SN-3296-1 :
Le problème peut être corrigé en mettant à jour votre système avec la version de package suivante:
Ubuntu 17.04:
samba 2: 4.5.8 + dfsg-0ubuntu0.17.04.2
Ubuntu 16.10:
samba 2: 4.4.5 + dfsg-2ubuntu5.6
Ubuntu 16.04 LTS:
samba 2: 4.3.11 + dfsg-0ubuntu0.16.04.7
Ubuntu 14.04 LTS:
samba 2: 4.3.11 + dfsg-0ubuntu0.14.04.8
De plus, SN-3296-2 indique que les utilisateurs de 12.04 ESM disposent également d'une version corrigée:
Ubuntu 12.04 LTS:
samba 2: 3.6.25-0ubuntu0.12.04.11