ニュース
2004/02/10 10:31 更新
オープンソースUpdate:Samba 3.0.2 リリース
Sambaに、パスワード認証に関連する脆弱性(CVE-2004-0082)が発見された。Samba 3.0系を利用中のシステムでは、有効なパスワードが指定されていないアカウントを無効化するか、本リリースへアップデートする必要がある。
Samba 3.0.2 2004年2月10日 リリース
UNIXとWindows間のファイル共有を実現するオープンソースソフトウェア「Samba」の最新版3.0に脆弱性が発見された。内容は、「mksmbpasswd.sh」シェルスクリプトを通して追加されたSambaアカウントに対し、権限を持たない者が不正にアクセスできるというものだ(CVE-2004-0082)。この件に対し、問題が修正されたセキュリティリリースが公開された。
今回の脆弱性に対する一時的な回避方法も公開されている。Samba 3.0.2のパッケージに含まれている「pdbedit」コマンドをコンパイルし、次の操作を行うことで有効なパスワードが設定されていないSambaアカウントをすべて無効化可能だ。
root# pdbedit-3.0.2 --force-initialized-passwords |
本リリースでは上記の脆弱性のほか、次に挙げる各項目で修正が行われている。
- Windows 2000 SP2以前、およびWindows XPのクライアントがドメインに参加する場合の問題が修正された。
- Windows 9x/MEクライアントにおける「%U」「%u」指定の問題が修正された。
- デーモン「smbd」「winbindd」が稼働中にクラッシュする問題が修正された。
- Kerberos認証が正常に動作しない問題が修正された。
- NTLM認証を実現する「ntlm_auth」プログラムが更新された。
- 名前解決時のWINS、およびDNSクエリの発行方法が改善された。
- FreeBSD、Solaris上においてwinbindがうまく動作しない問題が修正された。
- Samba 2.2向けに書かれたスクリプトとの互換性を確保するために「smbclient」の出力メッセージの書式が変更された。
- その他、多くの修正が行われた。
SAMBA Web Pages
日本Sambaユーザ会
Linuxチャンネル
[長谷川 猛,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.