Sambaにバッファオーバーフローの脆弱性

Samba Teamは、オープンソースのファイルサーバソフト「Samba」にバッファオーバーフローの脆弱性があると発表した。影響を受けるのはSamba v2.2.0〜v2.2.9／v3.0.0以降。v2.2.10か、v3.0.5かにアップグレードすることで修正できる。

[ITmedia]

　Samba Teamは、オープンソースのファイルサーバソフト「Samba」にバッファオーバーフローの脆弱性があると発表した。

　発表された脆弱性は2種類あり、いずれもバッファオーバーフローを発生させる恐れがある。影響を受けるのは、いずれもSamba v2.2.0〜v2.2.9／v3.0.0以降。v2.2.10か、v3.0.5かにアップグレードすることで修正できる。

　一つは、「Samba Web Administration Tool」（SWAT）で、HTTPのベーシック認証中にBase64データをデコードすることで引き起こされる。最新版にアップグレードするか、回避策としてSWATを無効にすることを薦めている。

　二つ目の脆弱性は、設定ファイルのsmb.confで「mangling method = hash」を指定している場合に、バッファオーバーフローが起こるというもの。Samba v3.xでは、デフォルト設定が「mangling method = hash2」になっているため、そのままであれば影響を受けない。

　Samba v2.2.10はここから、Samba v3.0.5はここからダウンロードできる。