futuremix

IT Pro ニュース によると、ファイル共有ソフト Samba にバッファオーバーフローを起こすセキュリティホールが見つかりました。最新版の Samba 3.0.5 または 2.2.10 では解消されているとのこと。

一つは SWAT の HTTP 認証においてバッファオーバーフローの脆弱性が存在し、任意のコードが実行できるという欠陥(CAN-2004-0600)。Samba 3.0.2 以降が影響を受けるそうです。

二つ目は、設定ファイル smb.conf の mangling method が hash に指定されている場合に欠陥が存在するとのこと(CAN-2004-0686)。Samba 2.2.0 以降と 3.0.0 以降が影響を受けるが、Samba 3.xでは初期値が hash2 であるため、デフォルト設定のままでは影響を受けないそうです。

日本Sambaユーザ会は日本語版を出していますが、まだ 2.2.10 と 3.0.5 の正式版はリリースされていません。気長に待ちましょう。ちなみに今回の欠陥について私が Red Hat Linux 9 用の RPM をリリースする予定はありません。

8月13日追記

日本Sambaユーザ会から、日本語版 2.2.10 と日本語利用パッケージ 3.0.5 がリリースされています。3.0.5 はFTP サイト から入手できます。RPM もあります。

Red Hat 9 と 7.3 の修正版 RPM は、Bugzilla Bug 1924 – CAN-2004-0686 – buffer overflow in samba のコメントを参照。まだ Fedora Legacy としての正式リリースではありません。