United States Computer Emergency Readiness Team (US-CERT)は6月19日(米国時間)、「Samba Releases Security Updates|US-CERT」において、Sambaに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってSambaにサービス拒否(DoS)状態が引き起こされる危険性がある。
SambaはSMB/CIFSプロトコルに対応したファイル共有/プリント共有サービスを提供するソフトウェア。Windows向けのファイルサーバなどで使われることが多く、アプライアンスや組み込みデバイスなどでも使われていることがある。
脆弱性の情報は次のページにまとまっている。
- Samba AD DC Denial of Service in DNS management server (dnsserver)
- Samba AD DC LDAP server crash (paged searches)
脆弱性「CVE-2019-12435」はSamba 4.9およびSamba 4.10が、脆弱性「CVE-2019-12436」はSamba 4.10.0以降のすべてのバージョンのSambaが影響を受けるとされている。 各脆弱性に対する修正パッチ、脆弱性がリリースされた最新版がリリースされているので、前述のバージョンを利用している場合はアップデートすることが推奨される。