パスワードを忘れた? アカウント作成
Close
231969 story
セキュリティ

Samba 3.0~3.3.12に危険度の高い脆弱性 21

ストーリー by hylom
要アップデート 部門より

あるAnonymous Coward 曰く、

Samba 3.0~3.3.12に危険度の高い脆弱性が発見され、この問題を修正したSamba 3.3.13がリリースされた(脆弱性レポートCVE-2010-2063リリース告知)。

この脆弱性はSMB1パケットの処理過程において適切なバリデーションを行っていなかったのが原因で、特定の細工を施したパケットをサーバーに送り込むことによりサーバーをクラッシュさせたり、任意のコードを実行させられる可能性があるとのこと。危険度の高い脆弱性であり、対象となるシステムを利用しているユーザーは速やかにアップデートするべきと述べられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Samba 3.0~3.3.12に危険度の高い脆弱性 More

  • [samba.org]http://www.samba.org/samba/history/security.html [samba.org] にありますが、
    メンテナンス終了バージョン 3.0系列、3.2系列に対してもパッチが出ています。

  • NASは大丈夫なのだろうか (スコア:2, 興味深い)

    by Anonymous Coward on 2010年06月25日 3時06分 (#1785306)

    IO-DataやBuffaloを始めNASではLinux+sambaの組み合わせが多かったはずですが、ファームウェアなどはちゃんと更新できるのでしょうか?
    # 良く知らないのでAC

    • Re:NASは大丈夫なのだろうか (スコア:1, 参考になる)

      by Anonymous Coward on 2010年06月25日 9時24分 (#1785337)

      例えばバッファローなどは、2.xと3.xがありますね。いつから切り替えたかは知らないけど。

      http://opensource.buffalo.jp/gpl_storage.html [buffalo.jp]

      対応はあちらの胸先三寸 & ユーザの意識次第ですね(勝手には上がらないし)。

      # ファームウェアアップデータのアーカイブにlhmeltを使ってるあたりも"ちょっと"気になりますが...

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        まぁ、バッファローのは積んだ金の分だけOSSTechが面倒見てくれるんじゃないの?

    • Re: (スコア:0)

      by Anonymous Coward

      大丈夫というのとは違いますが。

      任意のコードを実行させるのにCPUやOS毎の実行コードがセットされてないとダメなんじゃ
      ないですかね?そういうNASで利用されているのって、マイナーなCPUの場合が多いような
      気がするので、Linux x86とかと比べれば標的になりにくいんじゃないかと…勿論、提供
      されるのならアップデートは行ないたいですけどね。

    • Re: (スコア:0)

      by Anonymous Coward
      できなけりゃGPL違反だろう

      オープンソースなんだから、自分でsambaのアップデートすりゃいいのに、なぜかサポートだのパッチが提供されないだの・・・まったく。

      • Re: (スコア:0)

        by Anonymous Coward

        > できなけりゃGPL違反だろう

        なんでGPL違反なの?
        どの条項に違反してるのか教えてよ。

        • Re: (スコア:0)

          by Anonymous Coward
          GPLを自分で読んでくれ

          簡単にまとめると
          ・ソースコードを提供しなければならない
          ・それをビルドしてインストールするための情報を提供しなければならない
          ってことなので。

          メーカーにソースコードとインストールのための情報を請求し、自分でパッチをあててビルドしインストールできなければ、GPLに反しているのよ。

          • Re: (スコア:0)

            by Anonymous Coward

            同一バイナリができるビルド方法を開示する必要はあるが、そのバイナリを読み込ませる方法は別なんじゃないか?
            でないと、ROM に焼き込んだ GPL コードのバイナリとかどうするよ?

            という訳で

            自分でパッチをあててビルドしインストールできなければ、GPLに反しているのよ。

            と言うのは勘違いかと。

            • Re: (スコア:0)

              by Anonymous Coward
              > でないと、ROM に焼き込んだ GPL コードのバイナリとかどうするよ?

              どうするも何も、どうせフラッシュメモリなんだから書き換えればいいでしょ。
              マスクROMなら、基板から剥がしてROMエミュレータに置き換えればいいし。

              GPLってのは、
              ブラックボックスにするな、ユーザーが自分で手を入れられるようにしろ
              というのが根底にあるわけですから、条文はそのように解釈されるべきでしょう。

  • とりあえず (スコア:1, 参考になる)

    by Anonymous Coward on 2010年06月24日 19時47分 (#1785145)

    sambaのバージョンの確認方法
    #smbd -V

  • どこまでの影響? (スコア:0)

    by Anonymous Coward on 2010年06月24日 21時49分 (#1785202)

    LAN内のみなら別にいいんじゃね?
    それともSambaを狙ったウイルスに感染して二次的に攻撃されることがあるかな

    • Re:どこまでの影響? (スコア:1, 参考になる)

      by Anonymous Coward on 2010年06月25日 2時25分 (#1785294)
      LAN内の誰かがウイルスに感染

      ウイルスがSambaなファイルサーバ上のファイルを改竄し、自動実行のトラップを仕掛ける

      ファイルサーバにアクセスしたら自動実行でウイルスが走り出す

      こんな事になりますよ。

      社内でメールに添付されたexeファイルを「何だろうと思って」実行した奴がいて、全社が大騒ぎになったことがありますよ。CodeRedだったかな・・・。結局、exeファイルを実行した人が誰かは本社のIT部門にはバレることなく済んじゃいました。怖いねー。
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        しったか!そんなふうにはならない!できることとできないことの区別がついていない。被害妄想?

        ファイルサーバが乗っ取られただけで、自動実行が走る理由を述べよ!

        • Re: (スコア:0)

          by Anonymous Coward
          Windowsの自動実行や自動的なモジュールの読み込み・実行は、なにもCD-ROMやUSBメモリに限らず、ファイルサーバに対しても機能しますよ。
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家