日本Sambaユーザ会、Samba日本語版の脆弱性について警告

　日本Sambaユーザ会は4月10日、ファイル共有ソフトのSambaにセキュリティホールが発見されたことを受けて、ユーザーに対して至急セキュリティ対策を施すよう警告を発した。

　「現在提供されているSambaのほぼすべてのバージョンに致命的な脆弱性が存在し、匿名ユーザーがroot権限を得ることが可能となる恐れがある」（日本Sambaユーザ会）

　具体的には、StrnCpy() 関数に細工されたnamelen変数を適切にチェックしていない事に起因した、バッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを利用された場合、リモートから任意のコードを実行される可能性がある。

　米国Sambaチームは7日にこのセキュリティホールの対策を施した「Samba 2.2.8a」をリリースしている。したがって、オリジナル版の「Samba 2.2.8」以前のすべてのバージョンのユーザーは至急、2.2.8aへのバージョンアップあるいはパッチを適用する必要がある。Samba 2.2.8aとパッチは、それぞれ以下のウェブページで入手可能。

• Samba 2.2.8a：http://us1.samba.org/samba/ftp/
• パッチ：http://us3.samba.org/samba/ftp/patches/security/

　Samba日本語版については日本Sambaユーザ会が、対策を施した「Samba 日本語版 2.2.7b-1.0」を同日リリースしている。今回のセキュリティホールに対策を施した新バージョンとパッチについては近日中にもリリースする予定という。

　パッチが適用できない場合は、一時的な対策として、TCPポートの139と445へのアクセスを禁止するよう呼びかけている。 詳細については同ユーザ会のウェブサイトで説明している。

日本Sambaユーザ会の発表資料