このページの本文へ

日本Sambaユーザ会、『Samba 2.0.7日本語版』のSWATにセキュリティーホールがあることを発表

2000年09月01日 20時36分更新

文● 編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

日本Sambaユーザ会は8月31日、UNIXマシンをWindows NT互換のファイルサーバー/プリントサーバーにするオープンソースソフトウェア『Samba 2.0.7日本語版』のSWAT(Samba ウェブ管理ツール)に重大なセキュリティー上の問題があると発表した。

不具合の内容は、ログファイルを解析することにより、SWATを利用する際のアカウントのパスワードを取得できるというもの。対象となるバージョンは『Samba 2.0.7日本語版』(バージョン 0.98以降のCVSスナップショットも含めてすべてのリビジョン)のSWAT。『Samba 2.0.7』のオリジナル版を含むその他のバージョンや、Samba本体には問題はないとしている。

原因は、SWATのCGIセッションのデバッグフラグが有効になったままリリースしたことによる。このため“/tmc/cgi.log”というファイルにクライアントから送付されたCGIのHTTPリクエストが記録される。SWATを使用しないか、“/tmc/cgi.log”ファイルのアクセス権を“600”に、所有者を“root”に修正することで回避できるという。

ウェブサイトから修正済みのソースアーカイブをダウンロードすることで解決する。修正したソースアーカイブは“samba-2.0.7-ja-1.2a.tar.gz”、“samba-2.0.7-ja-1.2a.tar.bz2”のようにリビジョン番号の後ろに“a”が付加され、ファイルの日付けが2000年8月30日15:30以降になっている。なお、現在はソースコードのみの配布となっているが、バイナリー方式については修正次第順次公開するとしている。

カテゴリートップへ

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン