2016年4月12日(米国時間)、Samba 4.4.2、4.3.8、4.2.11 がリリースされました。
Samba 4.4.2、4.3.8、4.2.11 の各リリースでは、「Badlock」と呼ばれる脆弱性への修正対応が行われています。
「Badlock」は以下のCVEにて報告されています。
CVE-2015-5370、CVE-2016-2110、CVE-2016-2111、CVE-2016-2112、CVE-2016-2113、CVE-2016-2114、CVE-2016-2115、CVE-2016-2118
(Windowsのものですが CVE-2016-0128 / MS16-047 も「Badlock」として報告されています。)
○CVE-2015-5370
本脆弱性の対象バージョンは 3.6.0 ~ 4.4.0 で、DCE-RPCのエラー処理に関連し、sambaサービスの異常停止やCPUの異常消費をおこす可能性があります。
回避策はありません。
○CVE-2016-2110
本脆弱性の対象バージョンは 3.0.0 ~ 4.4.0 で、NTLMSSPにて中間者攻撃(Man in the middle attack、以降、MITMと記述)が可能な脆弱性があります。
回避策はありません。
○CVE-2016-2111
本脆弱性の対象バージョンは 3.0.0 ~ 4.4.0 で、NETLOGONの偽装が可能な脆弱性があります。
回避策はありません。
○CVE-2016-2112
本脆弱性の対象バージョンは 3.0.0 ~ 4.4.0 で、LDAPの接続において完全性保証を強制できない(接続のダウングレードにより中間者攻撃(MITM)が可能)という脆弱性があります。
回避策はありません。
○CVE-2016-2113
本脆弱性の対象バージョンは 4.0.0 ~ 4.4.0 で、
TLS証明書の検証の不具合により、中間者攻撃(MITM)が可能という脆弱性があります。
回避策はありません。
○CVE-2016-2114
本脆弱性の対象バージョンは 4.0.0 ~ 4.4.0 で、SMB署名を必須(smb.confにて"server signing = mandatory")と設定していても、SMB1プロトコルを使用するクライアントには適用されないという不具合がありました。その結果として中間者攻撃(MITM)が可能という脆弱性があります。
回避策としてはsmb.confの [global]セクションに以下を設定します。
"server signing = mandatory"
"server min protocol = SMB2"
上記の設定によりSMB2以上のプロトコルを利用するようにします。
○CVE-2016-2115
本脆弱性の対象バージョンは 3.0.0 ~ 4.4.0 で、DCERPC通信関連に不具合があり、SMB署名を必須とできず、その結果として中間者攻撃(MITM)が可能という脆弱性があります。
回避策としては
smb.confの [global]セクションに以下を設定します。
"client signing = mandatory"
○CVE-2016-2118
本脆弱性の対象バージョンは 3.6.0 ~ 4.4.0 で、
SAMRおよびLSAにてリモートプロシージャコールの確立に問題があり、中間者攻撃(MITM)が可能という脆弱性があります。
回避策としては、保護されていないネットワーク上での、特権アカウントでの認証を回避することでリスクを低減させることが可能です。
(サーバコンソールで特権アカウントを利用する。)
補足:
中間者攻撃(Man in the middle attack)とは、通信している2者の間に介在し
送信者、受信者の両方にになりすまして通信を盗聴、制御を行う攻撃です。
バケツリレー攻撃(bucket brigade attack)とも呼ばれます。