BadLock脆弱性情報と各社パッチ情報 (CVE-2016-0128, CVE-2016-2118, その他)

4月13日に公開されました「BadLock」の脆弱性情報とパッチをまとめます。随時更新していきます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

3月22日に予告されていた「BadLock」の脆弱性情報とパッチが、4月13日に公開されました。範囲も大きくCriticalなものになるため、今回はこの「BadLock」脆弱性についてまとめてみます。

Priority

重要

Sambaの以下のバージョンが対象になります：

今回の脆弱性に関する情報は、http://badlock.org/(英語)にまとめられています。

今回の脆弱性により、以下のセキュリティ上のリスクがあります。

中間者攻撃（Man In The Middle）により、Sambaで共有しているADの情報などを見ることが可能となり、パスワードを解析したり権限昇格によりサービスを停止させることが可能になります。
DoS攻撃により、サービスを停止させられる可能性があります。

詳細は、各ディストリビューションの提供元にご確認ください

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、sambaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

—–