オープンソースのファイルサーバー「Samba」を開発するSamba Teamは22日、Sambaにバッファオーバーフローの脆弱性が存在すると発表した。最新版の「Samba 3.0.5」もしくは「Samba 2.2.10」にアップデートすることで修正できる。
公開された脆弱性は2種類存在する。1つ目は「the Samba Web Administration
Tool(SWAT)」の脆弱性であり、2つ目は設定ファイル「smb.conf」に存在する脆弱性だ。
1つ目の脆弱性は、SWATのHTTPの基本的な認証における「Base64」に、バッファオーバーフローの脆弱性が存在するというものだ。Samba 3.0.2以降が影響を受ける。Base64とは、インターネット上でバイナリデータを送る場合に使用されるエンコード方式の一種。この脆弱性を悪用し、バッファオーバーフローを発生させることで、任意のコードを実行させることが可能だという。Samba Teamでは、この脆弱性を危険だと指摘しており、Samba 3.0.2以降を利用している場合には、早急に脆弱性が修正された「Samba 3.0.5」にアップデートするか、もしくはSWATを無効にするように強く推奨している。
2つ目の問題は、設定ファイル「smb.conf」のmangling methodがhashに指定されている場合に存在する脆弱性だ。Samba 2.2.0以降およびSamba 3.0.0以降が影響を受けるという。ただし、Samba 3.xではデフォルト設定が異なるため、デフォルト設定のままでは影響を受けない。
いずれの脆弱性も、Samba Teamがリリースした最新版の「Samba 3.0.5」または「Samba 2.2.10」にアップデートすることで修正できる。Samba Teamでは、脆弱性の修正に加え、最近報告されたさまざまなバグも修正しているため、早急に最新版へアップデートすることを推奨している。
関連情報
■URL
ニュースリリース(英文)
http://www.samba.org/samba/whatsnew/samba-3.0.5.html
( 大津 心 )
2004/07/23 15:51
- ページの先頭へ-
|