一般ユーザーが管理者パスワード変更できる恐れ、Samba更新版で対処
Sambaの更新版では、一般ユーザーが管理者や特権アカウントのパスワードを変更できてしまう問題などが修正された。
UNIX系のOSとWindowsの相互運用に使われるオープンソースツール「Samba」の更新版が3月13日に公開された。一般ユーザーが管理者用のパスワードを変更できてしまう脆弱性などが修正されており、米セキュリティ機関NCCIC/US-CERTも、ユーザーに対してアップデートをを呼びかけている。
今回のアップデートでは2件の脆弱性が修正された。このうちの1件では、ログインしたユーザーが、LDAPサーバを介して管理者や特権アカウントなどを含む、他のユーザーのパスワードを変更できてしまう可能性がある。
LDAPはディレクトリサービスへの接続に使われるプロトコル。Samba 4のActive Directoryドメインコントローラでは、同サーバを介してパスワードの変更を検証する方法に問題があった。
もう1件の脆弱性では、外部のプリントサーバに対してサービス妨害(DoS)攻撃を仕掛けられる恐れがあった。
いずれの脆弱性もSamba 4.0.0以降のバージョンが影響を受ける。同日リリースされたSamba安定版最新バージョンの4.8.0のほか、4.7.6、4.6.14、4.5.16でこの問題が修正された。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Samba」に重大な脆弱性、直ちに対処を
脆弱(ぜいじゃく)性はたった1行の攻撃コードで悪用できるといい、セキュリティ企業は「炎上の可能性もある恐ろしいバグ」と形容している。
SMBの新たな脆弱性、研究者がDEF CONで発表 Microsoftは対処予定なし
悪用された場合、標的とするマシンにDoS攻撃を仕掛けてメモリとCPUリソースを枯渇させ、サービスを妨害することが可能とされる。
「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。
WindowsとSambaに重大な脆弱性、「サーバ管理者はパッチ公開に備えて」とMS
「関連情報がすべて公開されれば直後から悪用されるのは確実」とされ、WindowsサーバとSambaサーバインフラの管理者に対し、パッチの公開当日に対応する準備を整えておくよう促した。
関連リンク
Special
- PR -
Office 365を導入したものの、利用者にアプリの動作やネットワークが“重い”と苦情を言われたら、あなたならどうしますか――原因はどこにある? とるべき対策は?
「キミ、このUPSの電源交換しといてよ」(情シス部長) 「実はボク、ドライバーとか使ったことないんです……」(新人情シス) そんなときに困らないUPSとは。
「働き方改革に向け“モバイル活用”に着目したが、スマートデバイスの情報漏えいリスクや手間の面で導入は難しい」という企業のためのセキュリティソリューションとは
IoTで大量のデータを瞬時に処理することが求められる今、新たなアーキテクチャへのパラダイムシフトが起こっている。そこで重要な役割を果たすのはクラウドではなく……?
Special
- PR -
ピックアップコンテンツ
- PR -
注目のテーマ
マーケット解説
- PR -あなたにオススメの記事
- PR -
人気記事ランキング
- AMDのプロセッサ「Ryzen」と「EPYC」に重大な脆弱性、セキュリティ企業が公開
- Microsoft、3月の月例セキュリティ更新プログラムを公開 75件の脆弱性を修正
- 東京海上日動にある「若者しかいない」開発部門――メンバーは全員20代、入社5年目未満
- 「あなたのルーターに脆弱性あり、買い換えを」 そんなのアリ?
- Symantec証明書の失効迫る GoogleがWebサイト管理者に対応呼びかけ
- Flash Playerに深刻な脆弱性、更新版で対処
- 「天才を殺す凡人」から考える 大企業でイノベーションが起きないメカニズム
- 日本初投入のChromebookでK12市場に挑戦するレノボの勝算
- 「自分たちでできないことはやらない」 分業でセキュリティ強化を図る「京王SIRT」
- デジタル改革時代に“選んではいけない”SIer
ITmediaはアイティメディア株式会社の登録商標です。