I'n Blog 之萬象真藏

Samba 3.0.25/ Samba 3.0.25rc弱點修補檔發佈

修正了 之前邏輯錯誤，會將外流本機最大權限資訊的問題

Samba的用途

·         分享檔案與印表機服務；

• 可以提供使用者登入 SAMBA 主機時的身份認證，以提供不同身份者的個別資料；
• 可以進行 Windows 網路上的主機名稱解析 (NetBIOS name)
• 可以進行裝置的分享 (例如 Zip, CDROM...)
•  

Samba、3件の脆弱性に対処した最新版公開

Samba 3.0.25では3件の脆弱性が修正され、Windows Vistaとの相互運用性も強化された。

2007年05月15日 08時50分 更新

　オープンソースのファイル共有ソフト「Samba」の最新リリースとなる3.0.25が5月14日、公開された。3件の脆弱性が修正されたほか、Windows VistaクライアントとLinuxサーバとの相互運用性強化といった機能強化も盛り込まれている。

　US-CERTは14日、Sambaに関して2件のアドバイザリーを公開した。このうちNDR構文解析に関するヒープバッファオーバーフローの脆弱性は、MS-RPCパケットの認証が不適切なことに起因し、リモートの攻撃者に任意のコードを実行される可能性がある。

　また、コマンド挿入の脆弱性は、/bin/shへのインプットが適切にチェックされていないことに起因する。認証を受けたリモートの攻撃者が細工を施したRPCメッセージを送り付けることにより、Sambaサーバ上で任意のコードを実行できてしまう可能性がある。

　3件目の脆弱性は、悪用されるとユーザーが一時的にroot権限を取得できてしまう。

　Samba 3.0.25のソースコードはSambaのサイトからダウンロードできる。Samba 3.0.25rc3のパッチファイルをダウンロードすることも可能。