近日Samba被发现存在远程命令执行漏洞,漏洞编号:CVE-2015-0240,可以允许一个恶意的Samba客户端发送一个特定的netlogon数据包给smbd获得smbd运行的权限,而smbd的默认权限是root。
Samba是用来让UNIX / LINUX系列的操作系统与微软Windows操作系统的SMB/CIFS(Server Message Block/Common Internet File System)网络协议做链接的自由软件,由服务器及客户端程序构成,Samba服务对应的端口有139、445等等。
这个漏洞影响 Samba 3.5到最新的开发版4.2.0 Release Candidate (RC) 4,主流的GNU/Linux发行版都受到了影响,目前Debian已经修复。Red Hat Security Team的漏洞的分析报告已经公布:Red Hat Enterprise Linux 5至7受到影响。其他Linux发行版也分别发布了预警。
Samba官方已经在最新的4.1.17版本修复了该漏洞,同时Ubuntu, Debian和Suse等主流Linux发行版已经在仓库中更新相关组件包,安恒信息建议广大用户尽快给Samba打上补丁。补丁升级地址:http://www.samba.org/samba/security/
如果暂时因为开发需要、变更配置管理等原因而不便安装补丁,安恒信息提供临时降低风险的方案如下:在/etc/samba/smb.conf里增加: rpc_server:netlogon=disabled
但是请各位用户注意这个临时解决方案在3.6.x和更早的版本上无效。
此外,安恒信息提醒各位管理员在升级补丁修复漏洞的同时千万不要忘记查看服务器是否已经被入侵,是否存在后门文件等,尽量将损失和风险控制在可控范围内。安恒信息目前也安排了24小时电话紧急值班(400-694-0110),随时协助有需要的客户解决该漏洞。
