一般ユーザーが管理者パスワード変更できる恐れ、Samba更新版で対処

 

■□記事抜粋:ITmedia□■

UNIX系のOSとWindowsの相互運用に使われるオープンソースツール「Samba」の更新版が3月13日に公開された。一般ユーザーが管理者用のパスワードを変更できてしまう脆弱性などが修正されており、米セキュリティ機関NCCIC/US-CERTも、ユーザーに対してアップデートをを呼びかけている。

今回のアップデートでは2件の脆弱性が修正された。このうちの1件では、ログインしたユーザーが、LDAPサーバを介して管理者や特権アカウントなどを含む、他のユーザーのパスワードを変更できてしまう可能性がある。

LDAPはディレクトリサービスへの接続に使われるプロトコル。Samba 4のActive Directoryドメインコントローラでは、同サーバを介してパスワードの変更を検証する方法に問題があった。

もう1件の脆弱性では、外部のプリントサーバに対してサービス妨害（DoS）攻撃を仕掛けられる恐れがあった。

いずれの脆弱性もSamba 4.0.0以降のバージョンが影響を受ける。同日リリースされたSamba安定版最新バージョンの4.8.0のほか、4.7.6、4.6.14、4.5.16でこの問題が修正された。

 

 

 

▶▶▶全文は下記リンクより

情報源: ITmedia