United States Computer Emergency Readiness Team (US-CERT)は9月4日(米国時間)、「Samba Releases Security Updates|CISA」において、Sambaに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって機密情報を窃取される危険性がある。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Samba 4.9.0およびこれ以降のすべてのバージョン

脆弱性の詳細は次のページにまとまっている。

  • Combination of parameters and permissions can allow user to escape from the share path definition - CVE-2019-10197

    Combination of parameters and permissions can allow user to escape from the share path definition - CVE-2019-10197

Samba開発チームはこの脆弱性を修正したバージョンとして、Samba 4.9.13、4.10.8、4.11.0rc3がリリースされているので、アップデートの適用が推奨される。