Samba远程代码执行漏洞(CVE-2017-7494)分析

概述

2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba
3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本。360网络安全中心和 360信息安全部的Gear
Team第一时间对该漏洞进行了分析，确认属于严重漏洞，可以造成远程代码执行。

技术分析

如官方所描述，该漏洞只需要通过一个可写入的Samba用户权限就可以提权到samba所在服务器的root权限(samba默认是root用户执行的)。

从Patch来看的话，is_known_pipename函数的pipename中存在路径符号会有问题：

再延伸下smb_probe_module函数中就会形成公告里说的加载攻击者上传的dll来任意执行代码了：

具体攻击过程：

构造一个有’/’ 符号的管道名或路径名，如 “/home/toor/cyg07.so”
通过smb的协议主动让服务器smb返回该FID
后续直接请求这个FID就进入上面所说的恶意流程

具体攻击结果如下：

尝试加载 “/home/toor/cyg07.so” 恶意so

其中so 代码如下(加载时会调用 samba_init_module 导出函数)

最后我们可以在/tmp/360sec中看到实际的执行权限(带root权限)

解决方案

360网络安全响应中心和360信息安全部建议使用受影响版本的用户立即通过以下方式来进行安全更新操作，

使用源码安装的Samba用户，请尽快下载最新的Samba版本手动更新;
使用二进制分发包(RPM等方式)的用户立即进行yum，apt-get update等安全更新操作;

缓解策略：用户可以通过在smb.conf的[global]节点下增加 nt pipe support = no 选项，然后重新启动samba服务，以此达到缓解该漏洞的效果。

作者：佚名
来源：51CTO

时间： 2024-10-28 07:55:16

Samba远程代码执行漏洞(CVE-2017-7494)分析的相关文章

Office远程代码执行漏洞CVE-2017-8570 大部分版本受影响 PoC已经公开

Microsoft Office出现远程代码执行漏洞 CVE-2017-8570,office 大部分版本受影响.绿盟科技发布安全威胁通告,通告内容如下: Office远程代码执行漏洞CVE-2017-8570 2017年7月,微软在例行的月度补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞,利用方法简单.网上已经出现该漏洞的利用代码,影响范围较广. 该漏洞为Microsoft Office的一个远程代码执行漏洞.其成因是Microsof

绿盟科技网络安全威胁周报2017.10 请关注Struts2远程代码执行漏洞CVE-2017-5638

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-10,绿盟科技漏洞库本周新增32条,其中高危1条.本次周报建议大家关注 Struts2 远程代码执行漏洞 CVE-2017-5638 .攻击者通过恶意的Content-Type值,可导致远程代码执行.目前,Apache官方已针对该漏洞已经发布安全公告和补丁.请受影响用户及时检查升级,修复漏洞. 焦点漏洞 Struts2 远程代码执行漏洞 NSFOCUS ID 36031 CVE ID CVE-2017-5638 受影响版本 Struts

绿盟科技网络安全威胁周报2017.12 关注fastjson远程代码执行漏洞漏洞细节以及利用工具已经曝光

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-12,绿盟科技漏洞库本周新增44条,其中高危12条.本次周报建议大家关注 fastjson远程代码执行 .目前漏洞细节已经披露,可导致大规模对此漏洞的利用.强烈建议用户检查自己使用的fastjson是否为受影响的版本,如果是,请尽快升级. 焦点漏洞 fastjson远程代码执行 NSFOCUS ID 无 CVE ID 无受影响版本 1.2.24及之前版本漏洞点评 fastjson在反序列化时存在安全漏洞,攻击者可以通过提交一个精心构造

绿盟科技网络安全威胁周报2017.17 请关注Squirrelmail 远程代码执行漏洞CVE-2017-7692

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-17,绿盟科技漏洞库本周新增84条,其中高危40条.本次周报建议大家关注 Squirrelmail 远程代码执行漏洞 .SquirrelMail是以PHP编写的基于标准的webmail包.Squirrelmail 在1.4.22以前的版本中,由于在传递一个字符串给popen调用之前,没有对其进行过滤和无害化处理.因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码.目前Squirrelmail官方已经发布相关修复补丁,NSFOCUS建

绿盟科技网络安全威胁周报2017.27 关注Apache Struts远程代码执行漏洞CVE-2017-9791

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-26,绿盟科技漏洞库本周新增46条,其中高危9条.本次周报建议大家关注 Apache Struts远程代码执行漏洞 .目前厂商已经为此发布了一个安全公告 (S2-048)以及相应补丁,请用户及时下载更新. 焦点漏洞 Apache Struts远程代码执行漏洞 NSFOCUS ID 37074 CVE ID CVE-2017-9791 受影响版本 Apache Struts Version:2.3.x 漏洞点评 Apache Stru

绿盟科技网络安全威胁周报2017.24 关注Windows LNK文件远程代码执行漏洞CVE-2017-8464

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-24,绿盟科技漏洞库本周新增109条,其中高危93条.本次周报建议大家关注 Windows LNK文件远程代码执行漏洞 .微软官方已经在6月份发布的安全补丁中修复了此漏洞,受影响的用户应立即通过Windows自动更新服务来下载更新该安全补丁来防护.对于无法及时更新补丁的主机,建议禁用U盘.网络共享的功能. 焦点漏洞 Windows LNK文件远程代码执行漏洞 NSFOCUS ID 36895 CVE ID CVE-2017-8464

绿盟科技网络安全威胁周报2017.13 关注Apple iOS WI-FI远程代码执行漏洞CVE-2017-6975

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-13,绿盟科技漏洞库本周新增34条,其中高危4条.本次周报建议大家关注 Apple iOS WI-FI远程代码执行漏洞 .目前厂商已经进行了修复,强烈建议用户检查自己的系统是否为受影响版本,如果是,请尽快升级. 焦点漏洞 Apple iOS WI-FI远程代码执行漏洞 NSFOCUS ID 36325 CVE ID CVE-2017-6975 受影响版本 iOS Version <= 10.3 漏洞点评博通(Broadcom)WI-FI

Samba 发现一个七年历史的远程代码执行漏洞

Samba 团队发布安全通知,释出补丁修复了一个七年历史的远程代码执行漏洞.该漏洞编号为 CVE-2017-7494,在某些条件满足的情况下仅仅只需要一行代码就能利用该漏洞执行恶意代码.这些条件包括:445 端口可通过互联网访问,配置共享文件有写入权限,文件的服务器路径能被猜出. 恶意攻击者之后只需要上传一个共享库,就能让服务器加载和执行恶意代码.Samba 团队称,该漏洞影响 3.5.0 之前的所有版本,督促用户尽可能快的更新. 本文转自d1net(转载)

CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告

一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险. 二. 漏洞基本信息漏洞