～日本語版では英語版のパッチ適用は不可、ルーター設定により回避可能

日本Sambaユーザー会、Samba日本語版のパッチ提供や回避策を発表

■URL
http://www.samba.gr.jp/
http://www.samba.gr.jp/news-release/2003/20030317-1.html
(回避策掲載ページ:「パッチを適用しないSambaサーバを防御する」の部分が該当)

　日本Sambaユーザー会は9日、7日に発表された「Samba 2.2.8までの全バージョンに存在するroot権限が奪われる脆弱性」の日本語版での影響や回避策を発表した。

　この脆弱性は、Sambaの2.2.8までの全バージョンに存在し、悪意のあるコードが含まれたデータが送信されるとバッファオーバーフローが発生し、任意のコードを実行される恐れがあるというもの。攻撃コードがroot権限で実行されるため、攻撃されるとroot権限を奪われる可能性もある。

　対策として、英語版Sambaでは対策済み最新バージョン「2.2.8a」や対策パッチが提供されている。一方、日本Sambaユーザー会が提供している「Samba日本語版」のすべてのバージョンにおいても、同様の脆弱性が発生する可能性があるものの、日本語版では英語版に提供されているセキュリティパッチをそのまま適用することはできないという。したがって、同会では現在日本語版に対応したセキュリティパッチの作成を行なっており、近日中に同会Webサイト上で公開するとしている。

　また、日本Sambaユーザー会では、セキュリティパッチが提供されるまでの回避策として、Sambaが使用するポート139/TCP、445/TCPをルータやファイアウォールでフィルタリング設定することを推奨している。

【4月9日19時30分：追記】

　日本Sambaユーザー会は、脆弱性を修正した最新バージョン「Samba 2.2.7b日本語版リリース1.0」をリリースした。また、LinuxやSolarisなどの主要OSパッケージについては、同会にて順次整備していく予定だという。

■最新版提供サイト：ftp://ftp.samba.gr.jp/pub/samba-jp/samba-2.2.7b-ja/

◎関連記事
■Samba 2.2.8までの全バージョンにroot権限が奪われる脆弱性
■Samba、バッファオーバーフロー脆弱性を修正した最新バージョン「2.2.8」

(2003/4/9)

[Reported by otsu-j@impress.co.jp]