O Samba desafinou. E não estamos falando propriamente do ritmo mas sim do recurso que faz parte do Linux. Recentemente, descobriram uma falha, um grave bug no Samba que permite a atacantes remotos executarem código como root. Isso pode ocorrer em servidores que executam software vulnerável. De acordo com o CERT Coordination Center (CERT/CC), várias distribuições Linux tiveram esse tipo de problema, incluindo as mais famosas como Red Hat, SUSE Linux e Ubuntu.
O Samba é uma reimplementação do protocolo de rede SMB que fornece serviços de compartilhamento e impressão de arquivos em várias plataformas. Com o Samba é possível que usuários de Linux, Windows e macOS compartilhem arquivos em uma rede.
A vulnerabilidade foi descoberta por Orange Tsai da DEVCORE e rastreada como CVE-2021-44142. O problema diz respeito a uma leitura/gravação de heap fora dos limites presente no módulo VFS vfs_fruit ao analisar metadados do EA ao abrir arquivos em smbd.
“O problema em vfs_fruit existe na configuração padrão do módulo Fruit VFS usando fruit:metadata=netatalk ou fruit:resource=file”, explicou a equipe do Samba em um comunicado de segurança.
“Se ambas as opções estiverem definidas com configurações diferentes dos valores padrão, o sistema não será afetado pelo problema de segurança.” O módulo vfs_fruit vulnerável fornece compatibilidade aprimorada com clientes Apple SMB e servidores de arquivos Netatalk 3 AFP.
Samba tem bug que permite ataques remotos com execução de código como usuário root. Como resolver o problema
Assim, os invasores podem explorar a falha em ataques de baixa complexidade. Não seria necessária qualquer interação do usuário. Bastava que os servidores de destino executassem qualquer instalação do Samba antes da versão 4.13.17, que é justamente a versão que corrige esse bug.
Embora as configurações padrão sejam expostas a ataques, os agentes de ameaças que desejam direcionar essa vulnerabilidade precisarão de acesso de gravação aos atributos estendidos de um arquivo.
Observe que isso pode ser um usuário convidado ou não autenticado se esses usuários tiverem permissão de acesso de gravação a atributos estendidos de arquivo, acrescentou a equipe do Samba.
Então, os administradores devem instalar as versões 4.13.17, 4.14.12 e 4.15.5. Além disso, podem aplicar os patches correspondentes. Assim, corrigem o defeito de segurança o mais rápido possível.
O Samba também fornece uma solução alternativa para administradores que não podem instalar imediatamente as versões mais recentes. Porém, isso exige que eles removam ‘fruit’ das linhas ‘vfs objects’ nos arquivos de configuração do Samba.
No entanto, como a equipe do Samba observa:
alterar as configurações do módulo VFS fruit:metadata ou fruit:resource para usar a configuração não afetada faz com que todas as informações armazenadas fiquem inacessíveis. Assim, clientes macOS podem achar que as informações se perderam.