一般ユーザーが管理者パスワード変更できる恐れ、Samba更新版で対処
■□記事抜粋:ITmedia□■
UNIX系のOSとWindowsの相互運用に使われるオープンソースツール「Samba」の更新版が3月13日に公開された。一般ユーザーが管理者用のパスワードを変更できてしまう脆弱性などが修正されており、米セキュリティ機関NCCIC/US-CERTも、ユーザーに対してアップデートをを呼びかけている。
今回のアップデートでは2件の脆弱性が修正された。このうちの1件では、ログインしたユーザーが、LDAPサーバを介して管理者や特権アカウントなどを含む、他のユーザーのパスワードを変更できてしまう可能性がある。
LDAPはディレクトリサービスへの接続に使われるプロトコル。Samba 4のActive Directoryドメインコントローラでは、同サーバを介してパスワードの変更を検証する方法に問題があった。
もう1件の脆弱性では、外部のプリントサーバに対してサービス妨害(DoS)攻撃を仕掛けられる恐れがあった。
いずれの脆弱性もSamba 4.0.0以降のバージョンが影響を受ける。同日リリースされたSamba安定版最新バージョンの4.8.0のほか、4.7.6、4.6.14、4.5.16でこの問題が修正された。
▶▶▶全文は下記リンクより
情報源: ITmedia
Leave a reply