Linux ulgamlarynda SambaCry gowşaklygy (CVE-2017-7494) nädip düzetmeli
Samba, Windows müşderilerine * nix ulgamlarynda umumy faýl we çap hyzmatlaryny bermek üçin köpden bäri standart bolup gelýär. Öý ulanyjylary, orta göwrümli kärhanalar we iri kompaniýalar tarapyndan ulanylýan, dürli operasiýa ulgamlarynyň bilelikde ýaşaýan şertlerinde çözgüt hökmünde tapawutlanýar.
Gynansak-da, giňden ulanylýan gurallar bilen bolup geçýänligi sebäpli, Samba enjamlarynyň köpüsinde WannaCry töleg programma üpjünçiligi hüjümi täzeliklere ýetýänçä çynlakaý hasap edilmedik belli bir gowşaklygy ulanyp biljek hüjüm howpy abanýar.
Bu makalada bu Samba gowşaklygynyň nämedigini we oňa garşy jogapkär ulgamlaryňyzy nädip goramalydygyny düşündireris. Gurnama görnüşiňize (ammarlardan ýa-da çeşmeden) baglylykda, muny etmek üçin başgaça çemeleşmeli bolarsyňyz.
Häzirki wagtda Samba-ny islendik gurşawda ulanýan bolsaňyz ýa-da bilýän birini tanaýan bolsaňyz, okaň!
Gowşaklyk
Könelişen we iberilmedik ulgamlar uzakdaky kod ýerine ýetiriş gowşaklygyndan ejizdir. Simpleönekeý sözler bilen aýdylanda, bu ýazyp bolýan paýa eýe bolan adamyň özbaşdak koduň bir bölegini ýükläp we serwerde kök rugsatlary bilen ýerine ýetirip biljekdigini aňladýar.
Bu mesele Samba web sahypasynda CVE-2017-7494 hökmünde suratlandyrylýar we Samba 3.5 wersiýasyna (2010-njy ýylyň mart aýynyň başynda) we mundan beýläk täsir edýändigi mälim. Resmi däl ýagdaýda WannaCry bilen meňzeşligi sebäpli SambaCry adyny aldy: ikisi hem SMB protokolyny nyşana alýar we gurçuk bolup biler - bu ulgamdan sistema ýaýramagyna sebäp bolup biler.
Debian, Ubuntu, CentOS we Red Hat ulanyjylaryny goramak üçin çalt çäre gördüler we goldanýan wersiýalary üçin ýamalar çykardylar. Mundan başga-da, goldanmaýanlar üçin howpsuzlyk çäreleri hem üpjün edildi.
Sambany täzelemek
Öň bellenip geçilişi ýaly, öňki gurnama usulyna baglylykda iki çemeleşmeli:
Samba paýlaýan ammarlaryňyzdan gurnan bolsaňyz.
Geliň, bu ýagdaýda näme etmelidigiňize göz aýlalyň:
Çeşmeleriň sanawyna (/etc/apt/sources.list) aşakdaky setirleri goşup, iň soňky howpsuzlyk täzelenmelerini aljakdygyna göz ýetiriň:
deb http://security.debian.org stable/updates main deb-src http://security.debian.org/ stable/updates main
Ondan soň, elýeterli paketleriň sanawyny täzeläň:
# aptitude update
Ahyrynda, samba paketiniň wersiýasynyň gowşaklygyň düzedilen wersiýasyna gabat gelýändigine göz ýetiriň (CVE-2017-7494 serediň):
# aptitude show samba
Başlamak üçin täze elýeterli paketleri barlaň we samba paketini aşakdaky ýaly täzeläň:
$ sudo apt-get update $ sudo apt-get install samba
CVE-2017-7494 düzedişiniň eýýäm ulanylan Samba wersiýalary aşakdakylar:
- 17.04: samba 2: 4.5.8 + dfsg-0ubuntu0.17.04.2
- 16.10: samba 2: 4.4.5 + dfsg-2ubuntu5.6
- 16.04 LTS: samba 2: 4.3.11 + dfsg-0ubuntu0.16.04.7
- 14.04 LTS: samba 2: 4.3.11 + dfsg-0ubuntu0.14.04.8
Ahyrynda, Ubuntu gutyňyzyň dogry Samba wersiýasynyň gurlandygyny barlamak üçin aşakdaky buýrugy işlediň.
$ sudo apt-cache show samba
EL 7-de ýasalan Samba wersiýasy samba-4.4.4-14.el7_3. Ony gurmak üçin ýerine ýetiriň
# yum makecache fast # yum update samba
Öňküsi ýaly, indi ýasalan Samba wersiýasynyň bardygyna göz ýetiriň:
# yum info samba
CentOS we RHEL-iň köne, henizem goldanýan wersiýalarynda hem düzedişler bar. Has giňişleýin maglumat üçin RHSA-2017-1270 barlaň.
Bellik: Aşakdaky prosedura Samba-ny ozal çeşmeden gurandygyňyzy göz öňünde tutýar. Önümçilik serwerine ýerleşdirmezden ozal synag gurşawynda giňden synap görmek maslahat berilýär.
Mundan başga-da, başlamazdan ozal smb.conf faýlynyň ätiýaçlyk nusgasyny alyň.
Bu ýagdaýda Sambany çeşmeden hem düzeris we täzeläris. Şeýle-de bolsa, başlamazdan ozal ähli garaşlylygyň gurnalandygyny üpjün etmeli. Munuň birnäçe minut dowam edip biljekdigine üns beriň.
# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto
# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel
Hyzmaty bes ediň:
# systemctl stop smbd
Çeşmäni göçürip alyň we aýyryň (4.6.4 ýazylan wagty iň soňky wersiýasy):
# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz # tar xzf samba-latest.tar.gz # cd samba-4.6.4
Diňe maglumat maksatly, häzirki goýberiliş üçin bar bolan konfigurasiýa opsiýalaryny barlaň.
# ./configure --help
Aboveokardaky buýruk bilen yzyna gaýtarylan käbir wariantlary goşup bilersiňiz, eger öňki gurluşda ulanylan bolsa, ýa-da deslapky bilen gitmegi saýlap bilersiňiz:
# ./configure # make # make install
Ahyrynda hyzmaty täzeden açyň.
# systemctl restart smbd
we täzelenen wersiýany işledýändigiňizi barlaň:
# smbstatus --version
gaýtarmaly 4.6.4.
Umumy pikirler
Berlen paýlamanyň goldanylmadyk wersiýasyny işledýän bolsaňyz we haýsydyr bir sebäbe görä has täze görnüşine çykyp bilmeýän bolsaňyz, aşakdaky teklipleri göz öňünde tutup bilersiňiz:
- SELinux açyk bolsa, gorarsyňyz!
- Samba paýnamalarynyň noexec opsiýasy bilen gurnalandygyna göz ýetiriň. Bu gurnalan faýl ulgamynda ýaşaýan ikilikleriň ýerine ýetirilmeginiň öňüni alar.
Goş,
nt pipe support = no
smb.conf faýlyňyzyň [global] bölümine giriň we hyzmaty täzeden açyň. Samba taslamasyna laýyklykda munuň\Windows müşderilerinde käbir funksiýalary öçürip biljekdigini ýadyňyzdan çykarmak isläp bilersiňiz.
Üns beriň: turba goldawy=ýok opsiýasynyň Windows müşderilerinden paýnamalaryň sanawyny öçürip biljekdigine göz ýetiriň. Mysal üçin: Windows Explorer-den samba serwerine \\ 10.100.10.2\ýazsaňyz, rugsat berilmez. Windows müşderileri paýa girmek üçin paýy \\ 10.100.10.2\share_name diýip el bilen görkezmeli bolardy.
Bu makalada SambaCry diýlip atlandyrylýan gowşak goralanlygy we ony nädip gowşatmalydygyny beýan etdik. Bu maglumatlary jogapkär ulgamlaryňyzy goramak üçin ulanyp bilersiňiz diýip umyt edýäris.
Bu makala barada soraglaryňyz ýa-da teswirleriňiz bar bolsa, bize habar bermek üçin aşakdaky formdan peýdalanyň.