WindowsおよびSambaの重大なバグ「Badlock」、4月12日のパッチリリースが告知される

WindowsおよびSambaの重大なバグ「Badlock」、4月12日のパッチリリースが告知される 36

ストーリー by headless 2016年03月26日 11時35分
予告部門より

WindowsおよびSambaのセキュリティにかかわる重大なバグ「Badlock」の詳細とパッチが4月12日に公開されるとの告知が出ている(Badlock Bug、 SerNetのニュースリリース、 The Registerの記事、 Softpediaの記事)。

Badlockの詳細は4月12日まで公表されないが、SMBプロトコル関連のバグとみられ、ほぼすべてのバージョンのWindowsおよびSambaに影響するという。バグを発見したSerNetのStefan Metzmacher氏はSamba Core Teamのメンバーでもあり、発見内容をMicrosoftにも通知。SerNetとSambaチーム、Microsoftが共同で同時にパッチをリリースすることに合意したとのこと。バグはすぐにでも悪用される可能性があり、システム管理者は4月12日をパッチの適用日として準備しておく必要があるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索36コメント Log In/Create an Account

4月12日は第2火曜 (スコア:0)

by Anonymous Coward on 2016年03月26日 13時02分 (#2986787)

日本時間では第2水曜
定例パッチの日じゃん。
古寺駅 (スコア:0)

by Anonymous Coward on 2016年03月26日 13時05分 (#2986789)

古いTeraStationなんでパッチも何も打つ手なしです。
そんな機器はとっととリプレースするのが正解なんですが予算が降りなくて…。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  それどころか、同じBUFFALOではAirStation等のファイル共有機能を持つルータが多数あり、
  他社でもファイル共有機能を持つルータは複数あるのでセキュリティホールの影響範囲としてはかなり洒落にならない範囲になるのでは？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  どうせ、外部にはSMB開いてないでしょ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    だが、内側に敵(正規の権限を持たないユーザー/ウィルス等)が居ないとも限らない。
    それと、UPnPバグで外部から内部へ侵入出来ちゃうタコなルータが有る [cert.org]という現実。
これって… (スコア:0)

by Anonymous Coward on 2016年03月26日 13時46分 (#2986802)

名前から推測できるようなモノなのかなぁ…
なんでわざわざ名前まで公表したんだろう
- Re:これって… (スコア:1)
  
  by M-FalconSky (8868) <MFalcon.Sky+slashdotNO@SPAMGmail.com> on 2016年03月26日 13時49分 (#2986803) ホームページ日記
  
  悪用する人は、名前でどうこうじゃなく内容をちゃんと見るだろうし、それ以上に悪者(すでになにかやってる)だと、これ以外にもいろいろ未知の不具合を突いてくるでしょう...
  # ので、名前くらいだとあんま意味ない気がする
  
  --
  M-FalconSky (暑いか寒い)
  
  シェア
  
  親コメント
  - Re:これって… (スコア:1)
    
    by caret (47533) on 2016年03月26日 13時53分 (#2986805) 日記
    
    ]HackingTeam[
    
    シェア
    
    親コメント
  - - Re:これって… (スコア:1)
      
      by Anonymous Coward on 2016年03月26日 14時03分 (#2986808)
      
      仮に家族を人質に取られて、このバグを見つけろと言われたら、どうするかって話だよ
      警察に行けばいいんじゃないかな
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        そーゆー意味じゃないｗ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        下手糞なたとえ話って、本題が仮定に乗っ取られるんですよね。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        たとえ話って"正攻法じゃどう説明しても理解できない"人に理解させるための最終手段だし
        ちゃんと説明すれば理解できる人に最初からたとえ話をしたら矛盾を突かれて破綻するよね
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        たとえ話なんてべつに最終手段ってこともないでしょう。
        よく似た構図を思いついたから置き換えて話す、それだけです。
        思いつかないものを無理にひねってこじつけるから余計にこじれるんです。
        「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」
        をことさら強調せんがために
        「脆弱性を暴かないと大変な目に遭う」
        とかいうおかしなシチュエーションを盛るから話がおかしくなる。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」
        しか思い浮かばないような振り方をしたのに、手段の検討を頭からしない人が見当違いのレスを付けたから、
        有無を言わせず強制的に手段の検討を始めないといけない簡単なシチュエーションを与えただけだよ。
        ただどうでもいいところを必死で考える人が多くて閉口したｗ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        動機の能動性を強調したくて変な受動性を追加してる時点で、たとえ話として破綻してるっていう指摘だろ
        すべった喩えのセルフフォローは痛々しい
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        病院に行ったほうが
- Re:これって… (スコア:1)
  
  by Anonymous Coward on 2016年03月26日 14時14分 (#2986812)
  
  なるべく多くの人に関心を持ってもらうため、でしょうね。
  ロゴはパブリックドメイン(CC0)らしいので、これも、老若男女に注意喚起してくれって意図でしょうし。
  http://badlock.org/badlock.svg [badlock.org]
  だから、sambaのことは全然知らなくても、周りに、「おい、あれどうなってる？」って声かけするレベルの事案で、そうじゃないと、アップデート後に(コンマ数パーセントが乗り遅れて)阿鼻叫喚の世界になる可能性があるってことじゃないですかね。
  
  シェア
  
  親コメント
  - Re:これって… (スコア:1)
    
    by caret (47533) on 2016年03月26日 14時22分 (#2986818) 日記
    
    We are grateful to the Heartbleed team [heartbleed.com] to use their template.
    Heartbleedに倣ったということでしょう。こちらもCC0でロゴが公開されています。
    http://heartbleed.com/heartbleed.svg [heartbleed.com]
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    でもそのために名前を入れる必要があったかってことだよ
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      弁別性のためにはやっぱ必要だったんじゃないかな。"lock"がおそらく排他制御ファイルを指してるのがダメっていう指摘なんだろうけど、もう、そこら辺は誤解するよりいいってことでしょ。先々のことを考えると、重大なバグには実態に即したわかりやすい名前をつけて宣伝するしかない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  SMB2のLock、悪い人が悪いこと考えて悪い手順でごにょごにょすると任意のコード実行できてしまうようです。
  プロトコル自体の仕様バグではないのですがWindows、Sambaどちらの実装でも有効に機能してしまう攻撃とのこと。
  https://git.samba.org/?p=samba.git;a=blob_plain;f=source4/libcli/smb2/... [samba.org]
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    あうあうあうあー
    どうしてこうなった
    クライアントコードでもダメ
神話論争 (スコア:0)

by Anonymous Coward on 2016年03月26日 19時56分 (#2986960)

これって、クローズドソースよりオープンソースの方が、監視の目が多いという事？
- Re:神話論争 (スコア:1)
  
  by caret (47533) on 2016年03月26日 20時01分 (#2986969) 日記
  
  ちょうどこの前、ZDNet Japanにオープンソースソフトウェアがサイバー攻撃に強い理由 [zdnet.com]という記事が掲載されていましたね。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    でも今回は、オープンソース側も商用ソフトの流儀にならっているような…。
    パッチ公開を直ぐに行わず、予め公開日を予告してそれまで詳細情報も出さないってのは、リンク先記事の(経営)ダメージの最小化を計る商用ソフトの手法そのものな気が。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Windows側をほっといてSambaだけ対処してもWindows-Samba共存環境でWindows側に穴あけられて管理者権限取られたら正規手順でSamba側も荒らされるからでしょ。
      短期間でMSのコンプライアンス規定すっ飛ばしてOSSの流儀に合わせるのは不可能だし。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        少なくとも今回のバグを発見したのはSamba側であって、MS側ではない。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        SMBのプロトコルを発明したのはMS側であって、Samba側ではない。と言っても同じじゃね？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        脆弱性情報の公開は手柄をアピールするイベントではないので。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      RedHatとか商用パッケージにも採用されてる訳で、各ディストリビューションと歩調を合わせる必要はあるかと。
      結局、OSS等と関係なく社会的インフラを目指そうと思ったらそれなりに影響を考えないといけないという辺りになるのでは？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      一応メンテ放棄された奴にも猶予期間与えられるのは確かですね。
      どうするかは使用者次第ですが、Heartbleedの時パッチ適用を中々やらなかったようなとこは、今回も危ないでしょうね。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      パッチのソースコードを見たら脆弱性の詳細がわかりパッチが間に合わない
      Windows側への攻撃が起こりそうです。
- NAS製品が心配なんだろ?E社とか (スコア:0)
  
  by Anonymous Coward
  
  もうね、めんどうくさいからT/Oって書きたいんですけどね…
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    今回の内容は、非権限者が認証を回避して管理者権限ですべて制御できるって
    つまり部外者がいきなりファイルサーバにアクセスし、アクセスコントロール
    されている機密情報の閲覧やファイルサーバ自身の初期化ができる事なのでたぶんアウト
    でも今回の致命的な脆弱性は不特定多数の利用で脅威になるわけで
    たとえば適切にアクセス制御ができている部門サーバとかなら問題ない
    アクセス制御というのはSMBレベルではなく、ネットワーク機器による制御で
    あり且つ部門者がすべて善人であることが前提ですが、、、
    幸いにもUTM機能を有しているいわゆる次世代ファイアウォール（Sonicwall,Fortigate
    Paloalt周り）がファイルサーバと端末機器の間に入っている状態なら、事はそう大きくはならんです
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    近年のAppleはSMBサーバ独自実装だそうですけど、大丈夫なんですかいな？ちょい前はSambaだったはずだけど、もうパッチ出ないだろうなー

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

WindowsおよびSambaの重大なバグ「Badlock」、4月12日のパッチリリースが告知される 36

WindowsおよびSambaの重大なバグ「Badlock」、4月12日のパッチリリースが告知される More ログイン

4月12日は第2火曜 (スコア:0)

古寺駅 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

これって… (スコア:0)

Re:これって… (スコア:1)

Re:これって… (スコア:1)

Re:これって… (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:これって… (スコア:1)

Re:これって… (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

神話論争 (スコア:0)

Re:神話論争 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

NAS製品が心配なんだろ?E社とか (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド