- 2017年10月2日(初版)
製品アップデートのお知らせ
Sambaのセキュリティ脆弱性(CVE-2017-12150、CVE-2017-12151、 CVE-2017-12163)の情報が公開されております。
本脆弱性を修正した OSSTech Samba のパッケージの提供を開始します。
対象
- OSSTech Samba 4.5系
- osstech-samba-4.5.14-122 より前のバージョンをご利用中の環境
- OSSTech Samba 4.3系
- osstech-samba-4.3.13-110 より前のバージョンをご利用中の環境
- OSSTech Samba 3.6系
- osstech-samba-3.6.25-79 より前のバージョンをご利用中の環境
脆弱性の概要
- CVE-2017-12150の概要
- Sambaのクライアント機能利用時のいくつかの実行経路においてSMB署名が行われるべき通信時に適切にSMB署名が行われないため悪意のあるユーザーによる中間者攻撃を受ける可能性がある問題を修正しま した。
- CVE-2017-12151の概要
- 「client max protocol」として「SMB3」以上のバージョンが指定されており、クライアントから暗号化されたSMB3コネクションによって接続された場合にDFSによりリダイレクトされた後のコネクションの暗号化と署名 が有効にならない問題を修正しました。
- この問題により、悪意のあるユーザーによる中間者攻撃によって、データの漏洩や変更の恐れがあります。
- CVE-2017-12163の概要
- 共有への書き込み権を持つクライアントが、SMB1プロトコル通信によりファイルへのデータ書き込みを行う際に、クライアントが送信するリクエストを工夫することで送信されたサイズ以上のデータをファイルに書き込むことで、smbdプロセスのメモリ内容をファイルに書き込むことができる可能性がある問題を修正しました。
- なおこの問題でクライアントがsmbdプロセスの特定のメモリ領域を指定してデータをファイルに書き込むことはできません。
アップデートパッケージの入手方法
ご利用中の動作OS、およびご利用中のSambaバージョンをご確認の上、弊社サポート窓口まで、サポートID 、会社名、ご担当者名を添えてご連絡ください。 折り返し、弊社よりアップデートパッケージをご案内いたします。
ご利用中のSambaのバージョンの確認は次のコマンドを実行してください。
# rpm -q osstech-samba
- 対象OS
- Red Hat Enterprise Linux 7 (x86-64)
- Red Hat Enterprise Linux 6 (x86-64)