製品アップデートのお知らせ
Samba の以下のセキュリティ脆弱性の修正を行ないました。
- CVE-2022-0336
- CVE-2021-44142
- CVE-2021-44141
- CVE-2020-25718
- CVE-2020-25719
- CVE-2020-25721
- CVE-2020-25722
- CVE-2021-3738
- CVE-2021-23192
対象
SambaサーバーをActive Directoryのドメインコントローラーとして運用しているサーバーに影響があります。
- Samba 4.8
- osstech-samba-4.8.12-144までのバージョン
- Samba 4.10
- osstech-samba-4.10.18-148までのバージョン
- Samba 4.11
- osstech-samba-4.11.15-155までのバージョン
本修正により osstech-samba-4.15.5-157 を提供します。
問題の概要
- CVE-2022-0336
Active Directoryのドメインコントローラーとして構成されたSambaサーバーのユーザーが自分のサービスプリンシパル名(SPN)を任意に書き換えることで既存のサービスへのアクセスを妨害できる可能性がある問題を修正しました。
- CVE-2021-44142
ファイルサーバーとして構成されたSambaサーバーで、vfs_fruitモジュールを有効にしている場合、ファイルオープン処理時のメタデータの解析における脆弱性を悪用して、任意のコードをroot権限で実行できる可能性がある問題を修正しました。
- CVE-2021-44141
ファイルサーバーとして構成されたSambaサーバーで、SMB1とUNIX拡張機能を有効に設定している場合、シンボリックリンクの機能を悪用して共有外に配置されたファイルなどの存在を検知できる脆弱性を修正しました。
- CVE-2020-25718
Active Directoryのドメインコントローラーとして構成されたSambaサーバーがRODCとしてドメインに参加した場合に Kerberosチケットの発行権限の確認が適切に行なわれていなかった問題を修正しました。
- CVE-2020-25719
Active Directoryのドメインコントローラーとして構成されたSambaサーバーがユーザーなどのSID情報を含むPAC(特権属性証明書)をKerberosチケットに含まないことを許容することによって生じていた権限のなりすましの可能性に対する問題を修正しました。
- CVE-2020-25721
Active Directoryのドメインコントローラーとして構成されたSambaサーバーがADの PAC の機能として PACに含まれるSIDを簡単に取得可能とするため、UPN_DNS_INFO への拡張を処理する方法を実装しました。本修正により、Samba以外のアプリケーションがKerberosのPACによるユーザーの厳密な特定が可能となります。
- CVE-2021-25722
Active Directoryのドメインコントローラーとして構成されたSambaサーバーが属性の保護や属性の一意性の確保が十分行なわれていなかったことによりサービスの安定性に問題をもたらす可能性がある点を修正しました。
- CVE-2021-3738
Active Directoryのドメインコントローラーとして構成されたSambaサーバーがRPCサーバー機能のサブコネクション切断後に開放済みのメモリ領域を誤って利用する可能性がある問題を修正しました。
- CVE-2021-23192
Active Directoryのドメインコントローラーとして構成されたSambaサーバーが大きなDCE/RPCパケットを分割して送出する際に、Sambaが後続の断片中のSMB署名検証を適切に実施していないことにより、攻撃者によって不正なデータを差し込みできる可能性がある問題を修正しました。
アップデートパッケージの入手方法
お客様がご利用中の Samba の環境について、下記の動作 OS、ご利用中のSambaのバージョンの情報をご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
OS について
- Red Hat Enterprise Linux 7 / CentOS 7 (x86-64)
- Red Hat Enterprise Linux 8 / CentOS 8 (x86-64)
Samba のバージョンについて
下記のコマンドでご確認ください。
$ rpm -q osstech-samba
ご利用中のSambaの設定が Active Directory構成か、その他の構成か確認するために次のコマンドで設定情報を取得して、ご連絡ください。
# /opt/osstech/bin/testparm -s |grep 'Server role:'