30秒で判断
対応すべき人
- Samba Active Directory Domain Controller(WINS機能を有効化)を運用している
対応不要な人
- Sambaを利用していない
- Sambaを利用しているがWINSフックを無効化している(wins hook = 未設定)
- Samba以外のActive Directory(Windows Server AD)を使用している
確認コマンド
# Sambaバージョン確認
samba --version
# wins hook 設定確認(出力があれば有効)
grep -i "wins hook" /etc/samba/smb.conf
概要
SambaのActive Directory Domain ControllerにおいてWINSフックの処理に欠陥があります。NetBIOS登録パケットから受け取った名前文字列が、適切な検証やエスケープなしにシェルコマンドへ渡されます。
ネットワーク上の未認証の攻撃者が細工したNetBIOS名を含む登録パケットを送信することで、Sambaプロセスの権限でリモートコード実行(RCE)が可能になります。CVSSスコア10.0(満点)という最高深刻度で評価されており、特にインターネット向けに公開しているSamba ADサーバーは影響を受けるリスクがあります。
CVSSベクトル
| 指標 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Scope | Changed | - |
| Confidentiality | High | 機密性への影響:高 |
| Integrity | High | 完全性への影響:高 |
| Availability | High | 可用性への影響:高 |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Samba (Active Directory DC) | パッチ適用前のバージョン |
Red Hat Enterprise Linux 8/9、Fedora等で提供されているSambaパッケージが対象です。
修正バージョンと回避策
パッチ適用
Red Hatセキュリティアドバイザリを確認し、提供されたパッケージに更新してください。
回避策(パッチ適用が困難な場合)
smb.confの[global]セクションでwins hookの設定を削除または無効化することで、影響を軽減できます。
# smb.conf から以下の行を削除または無効化
# wins hook = /path/to/script
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。