United States Computer Emergency Readiness Team (US-CERT)は10月29日(米国時間)、「Samba Releases Security Updates|CISA」において、複数のバージョンのSambaに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって機密情報などが窃取される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- CVE-2019-10218: Client code can return filenames containing path separators.
- CVE-2019-14833: Samba AD DC check password script does not receive the full password.
- CVE-2019-14847: User with "get changes" permission can crash AD DC LDAP server via dirsync
CVSSv3における値はそれぞれ5.3、4.2、4.9と算出されており、深刻度は「警告」に分類される。緊急または重大とは分類されていないため、それほど緊急性は高くないと見られるが、迅速にアップデートを実施したほうがよいと見られる。