Спецпроекты

«Почти критическая» уязвимость в Samba год оставалась невыявленной и незаделанной

ПО Безопасность Бизнес

Разработчики Samba выпустили обновления для «почти критической» уязвимости, которая, при соблюдении ряда условий, позволяла обходить ограничения на доступ. К настоящему моменту баг исправлен.

Годовалая дыра

Около года в популярном кроссплатформенном программном пакете Samba, с помощью которого можно обращаться к сетевым дискам и принтерам на различных ОС по протоколу SMB/CIFS, сохранялась уязвимость. При определенных условиях она позволяла обходить ограничения на доступ к общему файловому ресурсу (file share) и выходить за пределы его корневого каталога.

Уязвимость появилась в версии Samba 4.9.0, выпущенной 13 сентября 2018 г. Ее эксплуатация возможна только в том случае, если в настройках активирована опция wide links и либо разрешено использование «небезопасных» ссылок такого рода, либо деактивирован параметр «unix extension».

Параметр wide links регулирует, могут ли сервером использоваться символические ссылки в файловой системе UNIX. Ссылки на области в пределах дерева каталогов разрешаются всегда, а параметр wide links управляет доступом только к областям, которые лежат вне экспортируемого дерева каталогов.

Уязвимость, получившая индекс CVE-2019-10197, связана с тем, что программа не сбрасывает кэш, отслеживающий успешные переходы пользователей между каталогами.

haker600.jpg
Уязвимость в Samba позволяет выходить за пределы общего файлового ресурса

«Если у клиента нет разрешения на доступ к корневому каталогу общего файлового ресурса, в ответ на первый запрос он получит Access_Denied», — говорится в бюллетене безопасности. Однако за успешным изменением каталога должен происходить сброс кэша, в котором сохранялся заблокированный запрос. Если этого не происходит, то при следующем SMB-запросе у пользователя появляется возможность производить операции в «неправильном» каталоге — без уведомлений о блокировке доступа. Таковым может оказаться либо корневая папка, либо другой общий файловый ресурс, к которому ранее обращался тот же пользователь, а в худшем случае — даже корневая папка самой системы.

Проблема не затрагивает, впрочем, проверки разрешений в Unix: «Токены Unix (uid, gid, list of groups) всегда корректно атрибутируются перед каждой операцией, так что на клиента все равно воздействуют ограничения, выставленные на уровне ядра Unix», — говорится в тексте бюллетеня.

Степень угрозы данной уязвимости оценивается по-разному: от 8,7 до 9,1 балла по десятибалльной шкале. Фактически речь идет о критическом или почти критическом баге.

«Угрозу от любой уязвимости стоит рассматривать, в том числе, в контексте популярности уязвимого пакета, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Samba — популярнейшая разработка, так что переоценить масштабы проблемы довольно сложно. Обновления стоит установить как можно скорее».

Как можно бороться с проблемой

Проблема отсутствует в версиях 4.9.13 и 4.10.8 и далее. Если возможности установить обновления прямо сейчас нет, то разработчики Samba предлагают предпринять ряд мер.

В частности задействовать инструмент sharesec чтобы настроить дескриптор безопасности для общего файлового ресурса и выставить как минимум столь же строгие, как и настройки корневого каталога. Использовать опцию valid users, чтобы обеспечивать доступ только тем пользователям/группам, у которых есть доступ к корневому каталогу общего файлового ресурса.

Также рекомендуется отключить wide links, если в них нет острой необходимости. В некоторых ситуациях можно использовать chmod a+x для корневого каталога общего ресурса, однако необходимо убедиться, что для файлов и субкаталогов выставлены более строгие разрешения. Возможно, стоит использовать также chmod a-w, чтобы предотвратить появление новых файлов и каталогов верхнего уровня с менее строгими ограничениями.



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»