Samba : une vulnérabilité permet d’exécuter du code en tant que root
Une faille de sécurité critique touche Samba puisqu'elle permet à un attaquant d'exécuter du code à distance sur le serveur en bénéficiant des droits "root". De nouvelles versions de Samba sont disponibles.
Pour rappel, Samba est une solution open source pour Linux qui permet de partager des fichiers et des imprimantes grâce à l'intégration du protocole SMB, très populaire sur les systèmes Windows. Une fois en place, des machines sous Windows, Linux ou macOS peuvent s'appuyer sur le serveur Samba pour accéder aux données accessibles via les partages.
Sommaire
Samba et la vulnérabilité CVE-2021-44142
Parlons maintenant de la vulnérabilité. Découverte par Orange Tsai de Devcore, elle est associée à la référence CVE-2021-44142. Il s'agit d'une vulnérabilité out-of-bounds en lecture/écriture présente dans le module VFS "vfs_fruit", ce dernier étant utilisé lors de l'analyse des métadonnées au moment où smbd ouvre les fichiers. Le fait que ce soit une vulnérabilité out-of-bounds, signifie que le logiciel va lire ou écrire les données après la fin, ou avant le début, du tampon prévu. Quant au module vfs_fruit il permet d'améliorer la compatibilité avec les clients SMB Apple et les serveurs Netatalk 3.
Au sein du bulletin de sécurité publié sur le site de Samba, c'est précisé que la faille de sécurité est "activée" par défaut compte tenu de la configuration d'origine du module "vfs_fruit" : fruit:metadata=netatalk ou fruit:resource=file. Si ces deux options sont configurées différemment, le système n'est pas vulnérable.
Un accès en tant qu'utilisateur non authentifié disposant d'un accès en écriture sur les attributs étendus d'un fichier est nécessaire pour exploiter cette vulnérabilité. Si cette condition est remplie, l'attaquant peut exécuter du code malveillant à distance sur le serveur Samba.
CVE-2021-44142 : quels sont les systèmes affectés ?
Les serveurs Samba avec une configuration par défaut du module vfs_fruit et surtout une version vulnérable, seront considérés comme vulnérables. Sur le site du CERT/CC, il y a une page très intéressante qui recense les systèmes vulnérables, et même si la liste contient de nombreux systèmes avec l'état "Inconnu" (pour le moment), il y a quelques systèmes populaires qui sont affectés :
- Red Hat
- SUSE Linux
- Ubuntu
Cette liste devrait très fortement s'allonger.
Samba étant implémenté au sein du système de nombreux NAS, notamment pour les fonctions liées au partage de fichiers via le protocole SMB, il y a des chances pour que des mises à jour sortent prochainement chez les différents constructeurs. En tout cas, c'est qu'il faut espérer.
Comment se protéger de la vulnérabilité CVE-2021-44142 ?
De nouvelles versions de Samba sont disponibles pour les différentes versions encore supportées. Afin de vous protéger, vous devez installer l'une des versions suivantes :
- Samba 4.13.17
- Samba 4.14.12
- Samba 4.15.5
Si vous avez une version inférieure à la version 4.13.17, de toute façon votre serveur est vulnérable. Pour les utilisateurs qui ne sont pas en mesure d'appliquer la mise à jour de Samba dans l'immédiat, il existe une solution temporaire. Cette solution consiste à éditer le fichier de configuration smb.conf pour retirer les appels "fruit" des lignes associées au module VFS, mais attention, cela peut avoir des effets de bord notamment si vous utilisez des clients Apple.
corrigé chez Synology par une maj sur DSM 6.4.2
https://www.synology.com/fr-fr/security/advisory/Synology_SA_22_02