製品アップデートのお知らせ
Samba の以下のセキュリティ脆弱性の修正を行ないました。
- CVE-2023-0614
- CVE-2023-0922
- CVE-2022-3437
- CVE-2022-38023
- CVE-2022-37966
- CVE-2022-37967
- CVE-2022-45141
対象
SambaサーバーをActive Directoryのドメインコントローラーとして運用しているサーバー、および、ファイルサーバーに影響があります。
- Samba 4.15.13-160 までのバージョン
本修正により osstech-samba-4.15.13-161 を提供します。
問題の概要
- CVE-2023-0614
SambaをActive Directoryドメインコントローラーとして構成している環境において、LDAPフィルタのアクセス制御の不十分な実装により、Active Directoryドメインに保管されているBitLocker秘密キーを取得できる可能性がある脆弱性を修正しました。
- CVE-2023-0922
samba-toolコマンドを利用してパスワード変更操作を行うときに、LDAPSにより暗号化されていない経路でもパスワードを変更できることにより、新しく設定するパスワードを盗聴される可能性がある脆弱性を修正しました。
- CVE-2022-3437
Samba内蔵のHeimdalのGSSAPIルーチンのバッファオーバーフローの脆弱性により、悪意のあるリモートユーザーがDoS攻撃を引き起こすことができる可能性を修正しました。
- CVE-2022-38023
Windows NetLogonプロトコルの脆弱性(CVE-2022-38023)に対応するため、RC4(HMAC-MD5)を利用して接続するクライアントの接続を拒否する設定を「reject md5 clients」パラメーターとして追加し、デフォルトで有効「yes」に変更します。
reject md5 clients = yes
特定のコンピューターの接続をRC4(HMAC-MD5)で許可したい場合、「server reject md5 schannel」パラメーターで許可するコンピューターを指定します。
reject md5 clients = yes
server reject md5 schannel:FS1$ = no
server reject md5 schannel:FS2$ = no
- CVE-2022-37966
SambaをActive Directoryドメインコントローラーとして構築している場合のKerberos認証のセッションキーのデフォルトを脆弱なRC4(HMAC-MD5)から、AESに変更します。
- CVE-2022-37967
SambaをActive Directoryドメインコントローラーとして構築している場合に、S4U2Proxyとして知られている権限の委任機能を利用する際のPAC(Privileged Attribute Certificate)署名を含むKerberosチケットにおいて、脆弱なRC4(HMAC-MD5)が使われている問題を修正しました。
- CVE-2022-45141
SambaをActive Directoryドメインコントローラーとして構築している場合、Kerberosチケット発行時により適切な強度のアルゴリズムが利用できる場合でも RC4(HMAC-MD5)のチケットを発行する脆弱性を修正しました。
アップデートパッケージの入手方法
お客様がご利用中の Samba の環境について、下記の動作 OS、ご利用中のSambaのバージョンの情報をご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
OS について
- Red Hat Enterprise Linux 7 / CentOS 7 (x86-64)
- Red Hat Enterprise Linux 8 / CentOS 8 / Rocky Linux 8 / AlmaLinux 8 (x86-64)
Samba のバージョンについて
下記のコマンドでご確認ください。
$ rpm -q osstech-samba
ご利用中のSambaの設定が Active Directory構成か、その他の構成か確認するために次のコマンドで設定情報を取得して、ご連絡ください。
# /opt/osstech/bin/testparm -s |grep 'Server role:'
