Сигурност

Уязвимост в Samba излага на риск повечето Linux дистрибуции

Computer World

Сериозна „дупка“ в сигурността бе открита в популярния софтуер Samba. Интересното е, че тя съществува от март 2010 г. - появила се е във версия 3.5.0 и присъства във всяко обновяване на пакета, включително в наскоро излязлата 4.6.4.

Samba представлява имплементация на протокола SMB/CIFS, който позволява на Linux и Unix системи да достъпват File and Print Services на Windows, както и да си взаимодействат с мрежови функции на Microsoft като Active Directory и Windows Server Domain. Много домашни и корпоративни мрежови системи за съхранение на данни използват софтуера, също така Samba се активира лесно на всяка Linux-базирана машина.

Уязвимостта позволява качване на файлове на чужди мрежови решения за съхранение на данни с използване само на един ред код и не са необходими каквито и да е хакерски навици. Имайки предвид колко устройства използват Samba и от колко време съществува „дупката“, съществува голям вероятност от поява на червей, който да доведе до значителни щети.

Изследователи от компанията Rapid7 са успели да засекат на 104 хил. IPv4 устройства, свързани с интернет, които използват уязвими версии на софтуера. В наскоро пуснатите от Samba Project обновявания за 4.6, 4.5 и 4.4 уязвимостта е ликвидирана. Въпреки това обаче, по данни на Rapid7, за 90 на сто от засечените устройства няма обновявания. Трябва да се подчертае, че по-старите версии вече не се поддържат. 4.4 бе пусната през март 2016 г., което означава че за всяка система, на която софтуерът е на над една година, засега няма пач.

Samba Project препоръчват на всички потребители на пакета незабавно да го обновят до последна версия. За онези, които по някаква причина не могат да инсталират пач се предлага временно решение на проблема: добавяне на параметър nt pipe support = no в секция [global] на файла smb.conf, както и рестартиране на smbd. Последната мярка обаче може да повлияе ба това как клиентите на Windows получават достъп до съвместно използвани файлове и директории на диска.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X