United States Computer Emergency Readiness Team (US-CERT)は9月20日(オランダ時間)、「Samba Releases Security Updates|US-CERT」において、Sambaに複数の脆弱性が存在すると伝えた。対象の脆弱性を悪用されると攻撃者によって機密情報を窃取される危険性があり注意が必要。
対象の脆弱性と脆弱性を含むプロダクトおよびバージョンの組み合わせは次のとおり。
- CVE-2017-12150 - Samba 3.0.25から4.6.7までのバージョン
- CVE-2017-12151 - Samba 4.1.0から4.6.7までのバージョン
- CVE-2017-12163 - これまでのすべてのバージョン
脆弱性の詳細は以下のリンク先で確認可能だ。
- CVE-2017-12150 - SMB1/2/3 connections may not require signing where they should
- CVE-2017-12151 - SMB3 connections don't keep encryption across DFS redirects
- CVE-2017-12163 - Server memory information leak over SMB1
US-CERTはユーザーや管理者に対し、上記のセキュリティアナウンスをチェックするとともに、必要に応じてアップデートを適用すること、Linux/UNIXベースオペレーティングシステムのベンダーが提供しているパッチなどを適用することを推奨している。