今回は,前回のSamba 3.0.25の新機能で紹介した「VFSプラグイン形式による複数のACL実装への対応」についてより詳細に紹介したいと思います。

 まずは最近のSamba関連のニュースです。

samba 3.0.25リリース

 2007年5月14日にsamba 3.0.25がリリースされました。

http://news.samba.org/releases/samba_3_0_25_release/

 samba 3.0.25には前回の記事で紹介した新機能のほかに,次の3つのセキュリティ修正が行われています。

  • CVE-2007-2444
    影響範囲 Samba 3.0.23d - 3.0.25pre2
    ローカルSIDとユーザー名の変換ロジックの問題により,ユーザー権限の昇格が可能な脆弱性の修正
  • CVE-2007-2446
    影響範囲 Samba 3.0.0 - 3.0.25rc3
    複数のヒープオーバーフローの脆弱性の修正
  • CVE-2007-2447
    影響範囲 Samba 3.0.0 - 3.0.25rc3
    シェルに渡す文字列が正しくエスケープされていないことによるリモートからのコマンド実行の脆弱性の修正

     なお,samba 3.0.25は数多くの新機能が含まれていますので,まだ十分に安定しているとはいえないようです。したがって,実績が高いsamba 3.0.24を使い続けたいユーザーも多いと思います。そのようなユーザーのために,Sambaチームはsamba 3.0.24用のセキュリティパッチを下記URLにおいて別途提供しています。

    http://www.samba.org/samba/ftp/patches/security/

     このディレクトリ内の次の3つのパッチをsamba-3.0.24に適用して,sambaを再コンパイルしてください。

  • samba-3.0.24-CVE-2007-2444.patch
  • samba-3.0.24-CVE-2007-2446.patch
  • samba-3.0.24-CVE-2007-2447.patch

     ただし,samba-3.0.24-CVE-2007-2444.patchを適用するとforce groupの機能が正常に動作しなくなる問題が発見されていますので,上記パッチに加えて,下記URLに登録されているsource/smbd/uid.cに対する修正も適用する必要があります。

    http://viewcvs.samba.org/cgi-bin/viewcvs.cgi?view=rev&root=samba&rev=22978

     また非公式版ですがSamba TeamのGerald(Jerry) Carter氏によるsamba-3.0.24-gcリリースとして,上記セキュリティパッチやVista対応のパッチを適用したソースファイルも配布されています。執筆時点ではsamba-3.0.24-gc-2.tar.gzが最新となっています。

     詳細についてはメーリングリストに投稿された内容,およびダウンロードサイトのREADME.gc-branchファイルを参照してください。

    http://lists.samba.org/archive/samba/2007-May/131897.html
    http://www.samba.org/samba/ftp/people/jerry/3.0.24/

    samba 3.0.25aリリース

     様々な新機能やセキュリティ修正を含んでリリースされたsamba 3.0.25ですが,早速いくつかの致命的な問題が見つかっています。それらの修正を行ったsamba 3.0.25aが2007年5月24日にリリースされました。

    http://news.samba.org/releases/samba_3_0_25a_download/

     samba 3.0.25aで修正された主な問題は以下の通りです。

  • CVE-2007-2444のセキュリティ修正の結果,“force group”パラメータが適切に動作しなくなった問題の修正
  • Sambaをドメインコントローラとして利用しているときに,ドメインユーザーのパスワード有効期限が不適切に設定される問題の修正
  • “security = domain”と設定されているSambaサーバーに対して,Windowsのオブジェクトピッカーが動作しない問題を修正
  • “security = server”に設定されているときに,ユーザー認証に失敗する問題の修正

     これらの修正の他にも,いくつかの細かい修正が含まれていますので,詳細についてはリリースノートの”Changes”の項目を参考にしてください。

    この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

    日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら