关于Samba缓冲区溢出漏洞风险通报

产品描述：

Samba是用于Linux和Unix的标准Windows互操作性程序套件，旨在提供安全、稳定和快速的文件和打印服务。

影响产品或组件及版本：

CVE-2022-3437：4.0 <= Samba 版本 < 4.15.11、4.16.6 或 4.17.2

CVE-2022-3592：4.17.0 <= Samba 版本 < Samba 4.17.2

受影响资产情况：

通过资产测绘系统fofa发现，全球2121678个使用记录，其中第一名俄罗斯784375个，第二名巴基斯坦554152个，第三名中国341880个

受影响资产列表：

       见附件资产清单

利用过程及结果：

该漏洞存在于Heimdal（包含在Samba中）GSSAPI 库中的unwrap_des（）和unwrap_des3（）例程中，影响了自Samba 4.0编译以来的所有Samba版本。在默认情况下，当Samba被编译为使用内部Heimdal Kerberos库时，会使用易受攻击的unwrap_des3（），因此该漏洞会影响以默认构建选项构建的文件服务器部署。Samba团队还修复了一个符号链接漏洞（CVE-2022-3592），该漏洞的CVSS评分为5.4，影响了自 4.17.0 以来的所有 Samba 版本。由于Samba 4.17以来在用户空间中引入的符号链接没有正确覆盖，导致恶意用户可以通过创建符号链接，使smbd摆脱配置的共享路径，并利用该漏洞访问服务器的所有文件系统。

修补措施：

受影响用户可以升级到以下版本：

CVE-2022-3437：升级到Samba 4.15.11、4.16.6 或 4.17.2。

CVE-2022-3592：升级到Samba 4.17.2。

下载链接：

https://www.samba.org/samba/history/security.HTML

注：对于CVE-2022-3437，并非所有的Samba安装都会受到影响，Samba通常使用--with-system-mitkrb5 参数编译为使用系统 MIT Kerberos，这些安装不会受到影响。对于CVE-2022-3592，缓解措施详见参考链接中的安全公告。

检测规则：

4.0 <= Samba 版本 < 4.15.11、4.16.6 或 4.17.2

4.17.0 <= Samba 版本 < Samba 4.17.2均存在此漏洞。

漏洞来源：https://www.samba.org/samba/history/security.HTML

参考链接：

https://www.samba.org/samba/security/CVE-2022-3437.HTML

https://www.samba.org/samba/security/CVE-2022-3592.HTML