日本Sambaユーザ会は8月31日、UNIXマシンをWindows NT互換のファイルサーバー/プリントサーバーにするオープンソースソフトウェア『Samba 2.0.7日本語版』のSWAT(Samba ウェブ管理ツール)に重大なセキュリティー上の問題があると発表した。
不具合の内容は、ログファイルを解析することにより、SWATを利用する際のアカウントのパスワードを取得できるというもの。対象となるバージョンは『Samba 2.0.7日本語版』(バージョン 0.98以降のCVSスナップショットも含めてすべてのリビジョン)のSWAT。『Samba 2.0.7』のオリジナル版を含むその他のバージョンや、Samba本体には問題はないとしている。
原因は、SWATのCGIセッションのデバッグフラグが有効になったままリリースしたことによる。このため“/tmc/cgi.log”というファイルにクライアントから送付されたCGIのHTTPリクエストが記録される。SWATを使用しないか、“/tmc/cgi.log”ファイルのアクセス権を“600”に、所有者を“root”に修正することで回避できるという。
ウェブサイトから修正済みのソースアーカイブをダウンロードすることで解決する。修正したソースアーカイブは“samba-2.0.7-ja-1.2a.tar.gz”、“samba-2.0.7-ja-1.2a.tar.bz2”のようにリビジョン番号の後ろに“a”が付加され、ファイルの日付けが2000年8月30日15:30以降になっている。なお、現在はソースコードのみの配布となっているが、バイナリー方式については修正次第順次公開するとしている。
