ニュース
一般ユーザーが管理者パスワード変更できる恐れ、Samba更新版で対処
Sambaの更新版では、一般ユーザーが管理者や特権アカウントのパスワードを変更できてしまう問題などが修正された。
UNIX系のOSとWindowsの相互運用に使われるオープンソースツール「Samba」の更新版が3月13日に公開された。一般ユーザーが管理者用のパスワードを変更できてしまう脆弱性などが修正されており、米セキュリティ機関NCCIC/US-CERTも、ユーザーに対してアップデートをを呼びかけている。
今回のアップデートでは2件の脆弱性が修正された。このうちの1件では、ログインしたユーザーが、LDAPサーバを介して管理者や特権アカウントなどを含む、他のユーザーのパスワードを変更できてしまう可能性がある。
LDAPはディレクトリサービスへの接続に使われるプロトコル。Samba 4のActive Directoryドメインコントローラでは、同サーバを介してパスワードの変更を検証する方法に問題があった。
もう1件の脆弱性では、外部のプリントサーバに対してサービス妨害(DoS)攻撃を仕掛けられる恐れがあった。
いずれの脆弱性もSamba 4.0.0以降のバージョンが影響を受ける。同日リリースされたSamba安定版最新バージョンの4.8.0のほか、4.7.6、4.6.14、4.5.16でこの問題が修正された。
関連記事
- 「Samba」に重大な脆弱性、直ちに対処を
脆弱(ぜいじゃく)性はたった1行の攻撃コードで悪用できるといい、セキュリティ企業は「炎上の可能性もある恐ろしいバグ」と形容している。 - SMBの新たな脆弱性、研究者がDEF CONで発表 Microsoftは対処予定なし
悪用された場合、標的とするマシンにDoS攻撃を仕掛けてメモリとCPUリソースを枯渇させ、サービスを妨害することが可能とされる。 - 「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。 - WindowsとSambaに重大な脆弱性、「サーバ管理者はパッチ公開に備えて」とMS
「関連情報がすべて公開されれば直後から悪用されるのは確実」とされ、WindowsサーバとSambaサーバインフラの管理者に対し、パッチの公開当日に対応する準備を整えておくよう促した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.