2gusia (2gusia) wrote,
2gusia
2gusia

Category:

!!!Achtung!!! ДЫРА в Самбе

Судя по хабропосту, опирающемуся на Samba Security Releases

дыра CVE-2017-7494 Etherblue относится и Самбе. То есть к Linux и BSD (что-то мне подсказывает, и к Mac OS, но пока не уточнял)

Проверить версию Самбы можно из командной строки (smbd -V или smbstatus)
~/ root~$ smbstatus
 
Samba version 4.6.3


Версии 4.6.4 / 4.5.10 / 4.4.14 - уже исправлены. Версии ниже 3.5.0 не подвержены уязвимости. Соответственно 4.6.3 как в примере выше - уязвима

1) Сборка 11.0.0.4.4303, свободная от уязвимости, доступна для загрузки.

Срочно закрываем путём установки исправленной версии. Не забыв сначала сохранить конфиг.



2) Если по какой-то причине нет возможности, как немедленную заплатку на хабре советуют:
обойти эту уязвимость, можно добавив следующую строку в свой файл конфигурации smb.conf:
nt pipe support = no


на nas4free идём в Services > CIFS/SMB > Settings
Мотаем диалог донизу и добавляем строку nt pipe support = no в окошко

(на остальные строки не смотрите, это у меня для других целей)

Жмём кнопку Save & Restart

Понятно, что при этом у вас отрубятся SMB1 сервисы, но в наше время вряд ли они кому нужны.

Я проверил, в /usr/local/etc/smb4.conf
строка nt pipe support = no в секцию [global] добавилась

3) Я бы советовал пройтись по всем *nix устройствам в локальной сети. Начиная с роутера. Мало ли у вас на роутере самба поднята... И проверить не открыт ли 445 порт вдруг наружу. Хотя мне трудно представить зачем такое нужно.

На Дюнах пойду отключу самба сервер вообще от греха. Апдейтов вряд ли дождусь, зачем мне по большому счёту на медиаплеерах Самба? Нашёл прямо в коде своей прошивки 150721_0135_b9 что samba 3.0.30, не подверженная. Зато на текущих Solo и пр уязвимая. Но для текущих исправят.

UPD На всякий случай Samba - она везде. На Linux, BSD, MacOS... В роутерах, NAS, медиаплеерах, телевизорах, и пр. Даже Android и iOS внутри Linux и BSD соответственно. К счастью, ни там ни там по умолчанию Samba server не поднят.

Особенно плодотворна эксплуатация CVE-2017-7494, конечно, в роутере. Многие любят вешать на него HDD и смотреть фильмы и пр. Опасное дело, оказывается... А обновления прошивок точно не для всех роутеров выйдут.
Впрочем, на моём роутере всё OK
smbd -V
Version 3.0.37

Тем более медиаплееров, ТВ и прочих сноповязалок на Linux... Впрочем, если на сноповязалке не работает Samba сервер - к ней без претензий.

Насчёт CVE-2017-7494 для Mac OS погуглил - пока тишина. Но, с одной стороны, множество *nix уязвимостей на support.apple.com упоминают, ср хоть свежее. А с другой Samba - это часть оси макинтоша. И во многих случаях сервер Samba активирован. Так что я буду очень удивлён, если CVE-2017-7494 обойдёт маки стороной.
Tags: it, linux, nas, nas4free, Безопасность
Subscribe

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…

  • О добавлении диска в ZFS raidz

    Проект OpenZFS дал новый импульс развитию этой файловой системы. Прежде всего потому, что Linux сообщество разработчикоы велико и подключение их к…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 16 comments

  • OpenZFS и XigmaNAS

    Месяц назад я писал про Open ZFS. Там были мысли о том, когда он будет доступен в XogmaNAS. А в конце декабря зацепился на эту тему языками с…

  • Как провожают жесткие диски

    Сдох у меня жесткий диск в NAS Как видно - из SMART отпахал 70428 часов, то есть если 24/7 - больше 8 лет. И, я вам скажу, он не просто крутился…

  • О добавлении диска в ZFS raidz

    Проект OpenZFS дал новый импульс развитию этой файловой системы. Прежде всего потому, что Linux сообщество разработчикоы велико и подключение их к…