United States Computer Emergency Readiness Team (US-CERT)は1月21日(米国時間)、「Samba Releases Security Updates|CISA」において、Sambaに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- CVE-2019-14902 - Replication of ACLs set to inherit down a subtree on AD Directory not automatic
- CVE-2019-14907 - Crash after failed character conversion at log level 3 or above
- CVE-2019-19344 - Use after free during DNS zone scavenging in Samba AD DC
脆弱性が存在するバージョンおよびプロダクトは次のとおり。かなり多くのバージョンにこの脆弱性が存在することになる。
- Samba 4.0およびこれよりもあとのバージョン
-
21 January 2020 - Samba 4.11.5, 4.10.12 and 4.9.18 Security Releases Available|Samba
今回報告された脆弱性はどれも深刻度が警告に分類されている。該当する場合は回避策を実施しておき、次にアップデートするタイミングで問題の修正されたバージョンにアップデートすることが望まれる。
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記の脆弱性情報をチェックするとともに、必要に応じて回避策とアップデートを実施することを推奨している。
