Hilfe für Samba CVE-2017-7494 (Remote code execution from a writable share)

Hilfe für Samba CVE-2017-7494 (Remote code execution from a writable share)

https://www.samba.org/samba/security/CVE-2017-7494.html

Zur Ausnutzung des Fehlers muss ein Client Schreibberechtigungen besitzen. D.h. entweder offener Gast Zugriff mit Schreibberechtigungen, oder Zugriff mit Benutzer/Passwort.

Als Workaround für den genannten Exploit bieten sich 3 Möglichkeiten an:

  • Samba am jeweiligen System auf einen gepatchten Stand updaten. Dies ist insbesondere bei vielen Home NAS und IoT Produkten nicht immer möglich
  • nt pipe support = no in der Global Section hinzufügen. Dies kann einige Nebeneffekte bewirken. Wir empfehlen den Parameter zu setzen und bei eventuellen Problemen neu zu prüfen. Wichtig: Bei Windows NT Domains funktioniert damit die Anmeldung nicht mehr. Weiters ist ein Zugriff auf \\Server zur Anzeige verfügbarer Shares nicht möglich.
  • Mounten der Samba Partition, welche die Shares beinhaltet, mit der noexec Option. Dadurch blockt der Server das laden von Code oder Libraries über die Samba Partionen mit den beschreibbaren Shares.

Lösung für FreeNAS Systeme:

  • Fügen Sie unter Services/Cifs
    nt pipe support = no
    in Auxiliary parameters ein und restarten Sie den CIFS DIenst

Da auf so gut wie allen NAS Systemen Samba installiert ist, sollten Sie beim Hersteller ein Update anfragen.

Generelle Tipps:

  • Schützen Sie Freigaben immer mit Benutzer und Passwort.
  • Verwenden Sie pro Benutzer einen Account.
  • Schützen Sie Windows Freigaben immer durch eine Firewall. SMB Freigaben dürfen nie ohne Schutz im Internet ersichtlich sein.

Die CTS Solutions Spezialisten helfen Ihnen gerne. Kontaktieren Sie uns unter support@cts-solutions.at