United States Computer Emergency Readiness Team(US-CERT)は5月14日(米国時間)、「Samba Releases Security Updates|US-CERT」において、Sambaに脆弱性が存在すると伝えた。

この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。

影響を受けるバージョンは次のとおり。

  • Samba 4.0以降のすべてのバージョンのSamba
  • Heimdal 0.8から7.5までのすべてのリリースおよびこのライブラリを含むそのほかのプロダクト
  • CVE-2018-16860 - Samba AD DC S4U2Self/S4U2Proxy unkeyed checksum

    CVE-2018-16860 - Samba AD DC S4U2Self/S4U2Proxy unkeyed checksum

組み込まれたHeimdal KDCのS4U2Selfハンドラにおけるチェックサム処理に問題があり、リクエストターゲットプリンシパルの置き換えが実施できてしまうことが問題の要因になっている。

この脆弱性への対処として、各バージョンに対してパッチがりりーすされているおか、脆弱性を修正したバージョンとして、Samba 4.8.12、4.9.8および4.10.3がリリースされており、これらにバージョンアップすることでも脆弱性に対応できる。