BadLock脆弱性情報と各社パッチ情報 (CVE-2016-0128, CVE-2016-2118, その他) — | サイオスOSS | サイオステクノロジー

BadLock脆弱性情報と各社パッチ情報 (CVE-2016-0128, CVE-2016-2118, その他)

4月13日に公開されました「BadLock」の脆弱性情報とパッチをまとめます。随時更新していきます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

3月22日に予告されていた「BadLock」の脆弱性情報とパッチが、4月13日に公開されました。範囲も大きくCriticalなものになるため、今回はこの「BadLock」脆弱性についてまとめてみます。


Priority

重要

影響するバージョン

Sambaの以下のバージョンが対象になります:

  • 3.6.x

  • 4.0.x

  • 4.1.x

  • 4.2.0-4.2.9

  • 4.3.0-4.3.6

  • 4.4.0

概要

今回の脆弱性に関する情報は、http://badlock.org/(英語)にまとめられています。

今回の脆弱性により、以下のセキュリティ上のリスクがあります。

  • 中間者攻撃(Man In The Middle)により、Sambaで共有しているADの情報などを見ることが可能となり、パスワードを解析したり権限昇格によりサービスを停止させることが可能になります。

  • DoS攻撃により、サービスを停止させられる可能性があります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、sambaを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


[参考]

—–

タイトルとURLをコピーしました