Sambaに深刻な脆弱性、リモートからroot権限で任意のコードを実行される恐れ
2012年4月14日 11:28
あるAnonymous Coward 曰く、 Samba 3.xの深刻な脆弱性(CVE-2012-1182)を修正するセキュリティーアップデートが4月10日にリリースされた(Samba Security Releases、 JVNDB-2011-005032、ITmediaの記事)。
脆弱性は細工されたRPCコールにより、リモートからroot権限で任意のコードが実行されるというもの。認証を必要としないことから非常に深刻な脆弱性とされ、ユーザーやベンダーに対して直ちにパッチを適用するよう呼びかけている。影響を受けるバージョンはSamba 3.4.16以前のSamba 3.xおよび3.5.14以前の3.5.x、3.6.4以前の3.6.x。脆弱性の深刻度が高いことから、サポートが終了した3.0.37以降の旧バージョンに対応するパッチも提供される。また、4月11日には脆弱性を修正した次世代版のSamba 4.0alpha19も公開されている。
なお、Sambaは基本的にローカルネットワーク内でのみ使われることから、Secuniaでは脆弱性の危険度を「中」(Moderately Critical)に位置づけている。ただし、SecuniaのCarsten Eiram氏によれば、インターネット側からアクセスできるよう構成した場合の危険度は「高」(Highly Critical)になるとのこと(Network Worldの記事)。
スラッシュドットのコメントを読む | セキュリティセクション | Linux | セキュリティ | ソフトウェア | バグ
関連ストーリー:
Samba、内部文字コードを今度こそ固定化か ? 2011年06月27日
Mac OS X "Lion" からは Samba が削除される ? 2011年03月25日
Samba 3.0~3.3.12に危険度の高い脆弱性 2010年06月24日
マイクロソフト、Sambaとの互換性向上に積極的に取り組む 2008年10月27日
Microsoft のサーバプロトコル文書が Sambaチームへ 2007年12月22日
SambaがGPLv3に移行 2007年07月12日
Samba-3.0.0リリース 2003年09月26日