Sambaのセキュリティ脆弱性と製品アップデートのお知らせ

  • 2018年6月13日(初版)

製品アップデートのお知らせ

Sambaのセキュリティ脆弱性(CVE-2018-1050、CVE-2018-1057)の情報が公開されております。

本脆弱性を修正した OSSTech Samba のパッケージの提供を開始します。

対象

  • OSSTech Samba 4.5系
    • osstech-samba-4.5.15-127 より前のバージョンをご利用中の環境
  • OSSTech Samba 4.3系
    • osstech-samba-4.3.13-111 より前のバージョンをご利用中の環境

脆弱性の概要

CVE-2018-1050の脆弱性

Sambaのsmbdプロセスに外部プロセスによるプリントサーバー機能を設定している場合、spoolssに対して細工を行ったRPCを呼び出すことにより、印刷機能のプロセスをクラッシュさせることができる問題を修正しました。

本問題は、smb.conf(5)が以下の設定の場合は、影響を受けません。

  • [global] セクションに rpc_server:spoolss = external を設定していない (デフォルトではこの設定は行われていません)
  • プリントサーバー機能を無効化する設定 (disable spoolss = yes)が行われているとき

CVE-2018-1057の脆弱性

Samba 4のActive Directoryドメインコントローラーを利用している環境において、LDAP経由のパスワード変更操作に対する適切なアクセス権の設定が行われていないため、LDAP経由で任意のユーザーのパスワードを変更できる脆弱性を修正しました。

本問題は、Samba 4のActive Directoryドメインコントローラー機能を利用していない場合は、影響を受けません。

アップデートパッケージの入手方法

ご利用中の動作OS、およびご利用中のSambaバージョンをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。 折り返し、弊社よりアップデートパッケージをご案内いたします。

ご利用中のSambaのバージョンの確認は次のコマンドを実行してください。

# rpm -q osstech-samba
  • 対象OS
    • Red Hat Enterprise Linux 7 (x86-64)
    • Red Hat Enterprise Linux 6 (x86-64)
© 2018 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp