ทีม Samba ได้เปิดตัวโปรแกรมความปลอดภัยเพื่อแก้ไขช่องโหว่ในหลาย ๆ เวอร์ชันของ Samba เพื่อแก้ไข CVE-2019-14861 และ CVE-2019-14870 ซึ่งทั้งสองช่องโหว่พบตั้งแต่ Samba 4.0 ขึ้นไป

หน่วยงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) สนับสนุนให้ผู้ใช้และผู้ดูแลระบบตรวจสอบประกาศความปลอดภัยของ Samba และทำการอัปเดต

ที่มา us-cert.

พบช่องโหว่ Samba อายุเกือบหนึ่งปีก่อนจะได้รับการแก้ไข ซึ่งเป็นไปได้ว่าจะมีผู้ไม่หวังดีได้ใช้ช่องโหว่นี้หลบหลีก file-sharing permissions และเข้าถึงพาธที่ห้ามเข้า ช่องโหว่นี้พบใน Samba 4.9.0 ที่ถูกปล่อยช่วงกันยายน 2018 และสามารถโจมตีได้เมื่อมีการตั้งค่าตามเงื่อนไขบางประการ คือเปิดตั้งค่า “wide links ไว้ จากนั้นตั้งค่าให้ “'allow insecure wide links” ให้เป็น 'yes'หรือตั้งค่าพารามิเตอร์ “UNIX extension” ให้เป็น “No”

ปัญหานี้ได้รับ CVE-2019-10197 เกิดจากความผิดพลาดในการรีเซ็ต cache ที่เก็บ track การเปลี่ยนแปลงของของ directory ที่เปลี่ยนแปลงสำเร็จ เช่น ถ้า client ไม่มี permission เพื่อเข้า share root directory เขาจะได้รับ ACCESS_DENIED ตอบกลับมา ซึ่งต้องถูกรีเซ็ต แต่กลับไม่ถูกรีเซ็ต เมื่อ client พยายามเข้าถึงอีกครั้งก็จะไม่ได้รับ ACCESS_DENIED และสามารถเข้าถึงได้

แพตช์ถูกปล่อยออกมาเป็น Samba 4.11.0 RC3 ที่ได้แก้ไข CVE-2019-10197 แล้ว และได้แนะนำให้มีการอัปแพตช์โดยแอดมิน

ถ้าไม่สามารถอัปเดตแพตช์ได้ Samba แนะนำให้เลือกวิธีป้องกันเพียง 1 วิธีจากวิธีเหล่านี้ คือ

ใช้เครื่องมือ 'sharesec' ในการตั้งค่าคอนฟิกตัวที่บอกเกี่ยวกับความปลอดภัยสำหรับการแชร์ที่อย่างน้อยควรมีความเข้มงวดต่อการอนุญาตสิทธิ์บน share root directory
ใช้ตัวเลือก 'valid users' ในการอนุญาตเฉพาะผู้ใช้หรือกลุ่มที่สามารถที่จะเข้า share root directory ได้
ลบ 'wide links = yes' ถ้าไม่ต้องการจริงๆ และ
ในบางสถานการณ์อาจจะเลือกใช้ 'chmod a+x' บน share root directory แต่ต้องแน่ใจว่าไฟล์และ directory ย่อยได้รับการป้องกันโดยสิทธิ์ที่เข้มงวดพอ

ที่มา : bleepingcomputer

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัย

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2019-3870 และ CVE-2019-3880 โดยผู้โจมตีสามารถโจมตีช่องโหว่เพื่อยึดครองระบบได้

CVE-2019-3870 เป็นช่องโหว่ที่กระทบ Samba ตั้งแต่รุ่น 4.9 เป็นต้นไป โดยเกิดความผิดพลาดในการกำหนดสิทธิ์ของพาธ /usr/local/samba/private ซึ่งควรมีสิทธิ์เป็น 0700 เพื่อจำกัดให้สิทธิ์ในการแก้ไขเป็นของ root เท่านั้น แต่เกิดความผิดพลาดทำให้มีการกำหนดสิทธิ์เป็น 0666 ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำกว่าสามารถเขียนลงในพาธดังกล่าวได้ ซึ่งการอัปเดตจะไม่แก้ไขสิทธิ์ 0666 ดังกล่าวทำให้นอกจากผู้ดูแลระบบจะต้องอัปเดตแพตช์แล้ว ผู้ดูแลระบบจะต้องแก้ไขสิทธิ์ของพาธ /usr/local/samba/private ให้ถูกต้องอีกด้วย

ช่องโหว่ CVE-2019-3880 กระทบกับ Samba ตั้งแต่รุ่น 3.2.0 เป็นต้นไป โดยผู้ใช้งานที่มีสิทธิ์ในการเขียนไฟล์สามารถเขียนไฟล์นอกเหนือจาก Samba share ได้

ผู้ดูแลระบบความศึกษา https://www.

ทีมผู้ผลิต Samba ออกแพตช์ปรับปรุงความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ต่างๆใน Samba ที่ผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อควบคุมระบบที่ได้รับผลกระทบได้
ผู้ใช้และผู้ดูแลระบบควรตรวจสอบประกาศความปลอดภัยจาก Samba สำหรับ CVE-2018-14629, CVE-2018-16841, CVE-2018-16851, CVE-2018-16852, CVE-2018-16853 และ CVE-2018-16857 และอัปเดตแพตช์ให้เป็นรุ่นที่ถูกแก้ไขช่องโหว่แล้ว

ที่มา:www.

โครงการซอฟต์แวร์ชื่อดังอย่าง Samba ได้ทำการปล่อยแพตช์ด้านความปลอดภัยเวอร์ชันใหม่เพื่ออุดช่องโหว่สำคัญสองตัวด้วยกัน โดยช่องโหว่ทั้งสองช่องโหว่จะทำให้ผู้โจมตีทำการโจมตีแบบ DoS รวมไปถึงทำการเปลี่ยนรหัสผ่านของผู้ใช้รายอื่นๆ รวมถึงของตัวผู้ดูแลระบบ ได้

ช่องโหว่ตัวแรก (CVE-2018-1050) มีผลกระทบกับ Samba ตั้งแต่เวอร์ชัน 4.0.0 เป็นต้นไป โดยเป็นผลลัพธ์ที่เกิดจากการไม่ตรวจสอบค่านำเข้าผ่านทาง RPC call ที่เหมาะสม ผู้โจมตีสามารถส่งคำสั่งมาทางช่องทางดังกล่าวเพื่อทำให้ระบบไม่สามารถใช้งานได้ได้ ในส่วนของช่องโหว่ตัวที่สอง (CVE-2018-1057) นั้น เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่ไม่ได้มีสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากพอสามารถเปลี่ยนรหัสผ่านของผู้ใช้งานอื่นๆ ได้ผ่านทาง LDAP โดยจะกระทบเฉพาะ Samba ที่มีการอิมพลีเมนต์ Active Directory เท่านั้น
Recommendation แพตช์ของทั้งสองช่องโหว่ของ Samba มาพร้อมกับเวอร์ชันใหม่ 4.7.6, 4.6.14, 4.5.16 แนะนำผู้ดูแลระบบให้ทำการอัปเดทเซิร์ฟเวอร์ที่มีความเสี่ยงในทันที

Ref : The Hacker News

แจ้งเตือนช่องโหว่ร้ายแรงบน Samba กระทบ SMB บนลินุกซ์หลายดิสโทร

ลินุกซ์หลายดิสโทร อาทิ Red Hat, Ubuntu, Debian และอื่นๆ ได้มีการปล่อยแพตช์ช่องโหว่ use-after-free ซึ่งมีผลกระทบซอฟต์แวร์ SAMBA ตั้งแต่เวอร์ชัน 4.0 เป็นต้นมา (และมีอีกช่องโหว่ที่กระทบตั้งแต่ 3.6.0) โดยอาจส่งผลให้เกิดการรั่วไหลของข้อมูลที่อยู่ในหน่วยความจำได้

ในการโจมตีผู้โจมตีจะต้องอาศัยเพียงการส่งแพ็คเกตบนโปรโตคอล SMBv1 ไปที่ซอฟต์แวร์ที่มีช่องโหว่ แม้ว่าการปิดการใช้งาน SMBv1 อาจช่วยได้ส่วนหนึ่ง แต่ก็มีผลิตภัณฑ์อีกหลายรายการที่ซัพพอร์ตเพียงแค่ SMBv1

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบและดาวโหลดแพตช์ได้จากลิงค์ต่อไปนี้
http://www.

Samba Team ประกาศแพตช์ให้กับ 3 ช่องโหว่บน Samba วันนี้ โดยช่องโหว่ที่ร้ายแรงที่สุดอาจส่งผลให้เกิดการเขียนข้อมูลทับหน่วยความจำส่วนอื่นได้

แพตช์แรกปิดช่องโหว่ CVE-2017-12150 กระทบ Samba 3.0.25 ถึง 4.6.7 โดยเกิดขึ้นจากการไม่ signing การเชื่อมต่อเมื่อมีการรับส่งขอมูลแม้ว่าจะมีการบังคับให้ทำ signing ซึ่งอาจส่งผลให้ผู้โจมตีทำการโจมตีแบบ MitM เพื่อดักข้อมูลได้

https://www.

มีการใช้ช่องโหว่ SambaCry เพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ Linux ที่ใช้เซิร์ฟเวอร์แชร์ไฟล์ Samba เวอร์ชันเก่า

ผู้เชี่ยวชาญจากบริษัท Trend Micro กล่าวว่าการโจมตีส่วนใหญ่ได้มุ่งเป้าไปที่อุปกรณ์จัดเก็บข้อมูลแบบ NAS (Network-attached Storage) ซึ่งบางส่วนจะมาพร้อมกับเซิร์ฟเวอร์ Samba เพื่อให้สามารถทำงานร่วมกันระหว่างไฟล์ระบบปฏิบัติการต่างๆได้

มัลแวร์ที่นักวิจัยให้ชื่อว่า SHELLBIND ได้ใช้ประโยชน์จากช่องโหว่ SambaCry (หรือ EternalRed) ที่เปิดเผยต่อสาธารณในปลายเดือนพฤษภาคม 2017 ช่องโหว่ CVE-2017-7494 มีผลกับซอฟต์แวร์ Samba ทุกเวอร์ชันที่เปิดตัวในช่วงเจ็ดปีที่ผ่านมาตั้งแต่เวอร์ชัน 3.5.0 เป็นต้นไป สองสัปดาห์หลังจากที่ทีม Samba แก้ไขซอฟต์แวร์และรายละเอียดช่องโหว่แก่สาธารณะ มีการใช้ SambaCry เพื่อติดตั้งเซิร์ฟเวอร์ Linux และติดตั้งโปรแกรมเหมืองเงินดิจิทัล EternalMiner

นักวิจัยชี้ SHELLBIND เป็นโทรจันแบ็คดอร์ที่ช่วยให้ผู้โจมตีสามารถใช้ remote shell ที่เครื่องของเหยื่อได้ โทรจันนี้ได้รับการกำหนดค่าให้เปลี่ยนกฎไฟร์วอลล์และเปิดพอร์ต TCP 61422 ดังนั้นผู้โจมตีจึงสามารถเชื่อมต่อกับอุปกรณ์ที่ถูกบุกรุกได้

ที่มา : bleepingcomputer

Samba Team ได้ปล่อย security update เพื่อปิดช่องโหว่ที่พบใน Samba เวอร์ชัน 4.0.0 เป็นต้นไปที่มีการใช้ embedded Heimdal Kerberos ซึ่งทำให้ผู้ที่โจมตีจากระยะไกล (remote attacker) สามารถใช้ประโยชน์จากช่องโหว่นี้ในการเข้ามาควบคุมระบบดังกล่าว
US-CERT กระตุ้นให้ทางผู้ใช้งาน และ ผู้ดูแลระบบทำการทบทวนประกาศเรื่องความปลอดภัยของทาง Samba และทำการ update ส่วนที่จำเป็น หรือให้ refer ไปยังผู้จำหน่ายระบบ Linux หรือ Unix-based OS สำหรับ การ update patches ที่จำเป็น
ที่มา : us-cert

พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที
ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494

หากใครงาน SAMBA อยู่แนะนำให้รีบ update ด่วนครับ
ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา: samba.