Sambaに深刻な脆弱性、Linux各社が更新版をリリース

Samba 3.5系以降の全バージョンに脆弱性が存在する。悪用された場合、認証を経ることなくリモートからroot権限で任意のコードを実行される恐れがある。

[鈴木聖子，ITmedia]

　LinuxやUNIX系システムが採用しているオープンソースのファイルサーバソフトウェア「Samba」に深刻な脆弱性が見つかり、Linuxディストリビューター各社が更新版をリリースして対処している。

　Red Hatのブログによると、脆弱性はsmbdファイルサーバデーモンで初期化されていないポインタが使われていることに起因する。細工を施したパケットをSambaサーバに送り付けることによって悪質なSambaクライアントに悪用される恐れがあり、認証を経ることなくリモートからroot権限で任意のコードを実行される恐れがある。

　ただ、現時点でこれが実際に通用する形で再現された事例は確認されていないという。

　この脆弱性はSamba 3.5系〜4.2系までの全バージョンが影響を受ける。2月23日から24日にかけて公開されたバージョン4.1.17／4.0.25／3.6.25と、リリース候補版のSamba 4.2.0rc5で脆弱性が修正された。

　Red Hat Enterprise Linux、Ubuntu、DebianなどのLinuxディストリビューションもSambaの脆弱性に対処するための更新プログラムを公開し、インストールを呼び掛けている。

Sambaのリリース