дыра CVE-2017-7494 Etherblue относится и Самбе. То есть к Linux и BSD (что-то мне подсказывает, и к Mac OS, но пока не уточнял)
Проверить версию Самбы можно из командной строки (smbd -V или smbstatus)
~/ root~$ smbstatus Samba version 4.6.3
Версии 4.6.4 / 4.5.10 / 4.4.14 - уже исправлены. Версии ниже 3.5.0 не подвержены уязвимости. Соответственно 4.6.3 как в примере выше - уязвима
1) Сборка 11.0.0.4.4303, свободная от уязвимости, доступна для загрузки.
Срочно закрываем путём установки исправленной версии. Не забыв сначала сохранить конфиг.
2) Если по какой-то причине нет возможности, как немедленную заплатку на хабре советуют:
обойти эту уязвимость, можно добавив следующую строку в свой файл конфигурации smb.conf:
nt pipe support = no
на nas4free идём в Services > CIFS/SMB > Settings
Мотаем диалог донизу и добавляем строку nt pipe support = no в окошко
(на остальные строки не смотрите, это у меня для других целей)
Жмём кнопку Save & Restart
Понятно, что при этом у вас отрубятся SMB1 сервисы, но в наше время вряд ли они кому нужны.
Я проверил, в /usr/local/etc/smb4.conf
строка nt pipe support = no в секцию [global] добавилась
3) Я бы советовал пройтись по всем *nix устройствам в локальной сети. Начиная с роутера. Мало ли у вас на роутере самба поднята... И проверить не открыт ли 445 порт вдруг наружу. Хотя мне трудно представить зачем такое нужно.
UPD На всякий случай Samba - она везде. На Linux, BSD, MacOS... В роутерах, NAS, медиаплеерах, телевизорах, и пр. Даже Android и iOS внутри Linux и BSD соответственно. К счастью, ни там ни там по умолчанию Samba server не поднят.
Особенно плодотворна эксплуатация CVE-2017-7494, конечно, в роутере. Многие любят вешать на него HDD и смотреть фильмы и пр. Опасное дело, оказывается... А обновления прошивок точно не для всех роутеров выйдут.
Впрочем, на моём роутере всё OK
smbd -V
Version 3.0.37
Тем более медиаплееров, ТВ и прочих сноповязалок на Linux... Впрочем, если на сноповязалке не работает Samba сервер - к ней без претензий.
Насчёт CVE-2017-7494 для Mac OS погуглил - пока тишина. Но, с одной стороны, множество *nix уязвимостей на support.apple.com упоминают, ср хоть свежее. А с другой Samba - это часть оси макинтоша. И во многих случаях сервер Samba активирован. Так что я буду очень удивлён, если CVE-2017-7494 обойдёт маки стороной.
