Sambaにroot権限奪取の脆弱性 16
ストーリー by Oliver
LAN以外は解放してませんよね 部門より
LAN以外は解放してませんよね 部門より
k3c 曰く、 "Sambaの最新バージョン、2.2.8がリリースされた。リリースノート(和訳)によれば、バージョン2.0.x~2.2.7aまでのsmbdに認証無しでサーバのroot権限を奪取できる脆弱性が発見されており、全てのSambaユーザが最新版をダウンロードするかパッチの適用、またはリリースノートに挙げられている対策を取ることが強く推奨されている。現時点ではSamba 2.2.8日本語版はまだ出ていない模様。"
日本語版 patch (スコア:3, 参考になる)
多分、3/18になればここ [samba.gr.jp]から過去ログが見られるはずなので、それまでお待ちを。
ちなみにたかはしさんの和訳しているリリースノートには記載されていませんが、こちら [debian.or.jp]によれば、バッファオーバーフローによる root の奪取だけでなく、reg ファイルの書込みにおける chown の競合によるシステムファイルの書き換え、という問題もあるようです。
2.2.7-ja-1.0に対するパッチ作成中 (スコア:3, 参考になる)
作成中です。
詳しくは sugj-tech ML [samba.gr.jp] で追いかけてください。
まもなく samba-2.2.7-ja-1.1だします (スコア:2, 参考になる)
日本Sambaユーザ会のページ [samba.gr.jp]
に載せますので、watchしておいてください。mirrorが行き渡るのに
多少時間がかかると思います。
Re:まもなく samba-2.2.7-ja-1.1だします (スコア:1)
今暫くお待ち下さい…
#なお、アナウンスに誤記が多いのは私のせいです。
すいませんすいませんすいません…気付いた所はWebではなおしています。
Re:まもなく samba-2.2.7-ja-1.1だします (スコア:1, 参考になる)
それから、2.2.7a -> 2.2.8 では malloc() した領域に対する off-by-one なバグとか、smbd/dir.c による smbd のクラッシュとか、客観的には結構致命的と思えそうなバグも修正されているようですが、2.2.8 日本語版はまた当分出ないんでしょうか?
# 2.2.27-ja-1.1 [srad.jp] でも 2.2.7-ja [srad.jp] でもなく、2.2.7a-ja-1.1 ね。
みんなで指摘しそー (スコア:1, おもしろおかしい)
"smbd" じゃなくて "smbd" ですね。
急ぎすぎ?;)
Re:みんなで指摘しそー (スコア:1, おもしろおかしい)
Re:みんなで指摘しそー (スコア:1)
smdb>smbd
ですかね。
Re:みんなで指摘しそー (スコア:1)
まいったなあ (スコア:1)
Re:まいったなあ (スコア:0)
testingの方が低いのはなぜ? (スコア:0)
Re:testingの方が低いのはなぜ? (スコア:0)
という方式だから。
samba 2.2.3a-6 のあと 2.999 系列に移行したものの、
testing に突っ込めない状態が持続したまま更新を続けてるんでしょ。
一方、stable は地道に 2.2.3a 系列をアップデートしてるので、
パッチレベルが上がっている、ということで。
Re:まいったなあ (スコア:0)
「Debianを使い込んでる人はstableじゃなくてuntableを使うんですよ」って、おい・・・Linuxも触ったことなさそうな人にそんなこと言っていいの
入れ替えました (スコア:1)
# Sendmail に qpopper に Samba かぁ。最近続いたなぁ。
Re:入れ替えました (スコア:1)
遅くなりましたが、PR出しました。