現在位置: ホーム / OSSブログ / Sambaの脆弱性(CVE-2015-0240)について

Sambaの脆弱性(CVE-2015-0240)について

ファイルサーバーのサービスを提供するために利用されているSambaにて脆弱性が発見されました。Linuxディストリビューター各社の対応状況をこちらにまとめていきます。

Samba のバージョン 3.5.0 から 4.2.0rc4 までの間にて、悪意のある samba クライアントより特殊に細工をしたパケットを送信することで、任意のコードが実行されてしまいます。

Samba サーバーはフロントで利用されることは少ないサービスですが、内部に悪意のある者からの攻撃を受けてしまった場合に、重要なデータが閲覧、コピーされて持ち出されてしまうなどの影響がでてしまいます。機密情報の漏えいは重大な問題につながるケースもございますので、脆弱性に対応したアップデートパッケージの提供をご検討ください。

samba.org による CVE-2015-0240 の報告は下記を参照ください。
https://www.samba.org/samba/security/CVE-2015-0240

 

Linuxディストリビューター各社の対応状況

Red Hat Enterprise Linux

Red Hat Enterprise Linuxからは、以下のバージョン5から7までの間でアップデートパッケージが提供されています。Red Hat社が設定する影響度は Critical となっています。

Red Hat Enterprise Linux version 5
Red Hat Enterprise Linux version 6
Red Hat Enterprise Linux version 7

 

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server (SLES) ではバージョン12を対象にパッチが提供されています。
SLES11は現在対応中となっております。

SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Software Development Kit 12

https://support.novell.com/security/cve/CVE-2015-0240.html

Oracle Linux

Oracle Linux からも脆弱性に対応したパッケージの提供が開始されています。

Oracle Linux5

https://oss.oracle.com/el5/SRPMS-updates/?C=M;O=D

Oracle Linux6

https://oss.oracle.com/el6/SRPMS-updates/?C=M;O=D

Oracle Linux7

https://oss.oracle.com/ol7/SRPMS-updates/?C=M;O=D

Ubunts

Ubunts は 12.04 LTS 、14.4LTS、14.10 を対象にパッチが提供されています。

Ubuntu 14.10
Ubuntu 14.04 LTS
Ubuntu 12.04 LTS

http://www.ubuntu.com/usn/usn-2508-1/

CentOS

CentOS からも Samba のアップデートパッケージの提供が開始されています。

CentOS7

http://mirror.centos.org/centos/7/updates/x86_64/Packages/?C=M;O=D

CentOS6

http://mirror.centos.org/centos/6/updates/x86_64/Packages/?C=M;O=D

CentOS5

http://mirror.centos.org/centos/5/updates/x86_64/RPMS/?C=M;O=D

Amazon Linux

Amazon Linux からの提供は2月24日9時の時点では確認できておりません。
確認ができ次第、アップデートを行います。

https://alas.aws.amazon.com/index.html

 

※ お詫び:当初は認証が回避できると記載しておりましたが、正しくは任意のコードが実行できるとなります。

Yorozubanner

サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン