公開日:2011/08/26 最終更新日:2011/08/26

JVN#29529126
Samba Web Administration Tool におけるクロスサイトリクエストフォージェリの脆弱性

概要

Samba Web Administration Tool (SWAT) には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

Samba Web Administration Tool (SWAT) を含んでいる以下の製品

  • Samba version 3.5.10 より前のバージョン
  • Samba version 3.4.14 より前のバージョン
  • Samba version 3.3.16 より前のバージョン
  • Samba version 3.0.x から 3.2.15

詳細情報

Samba Web Administration Tool (SWAT) は、Web インタフェース上で Samba の設定変更を行うための製品です。SWAT には、クロスサイトリクエストフォージェリの脆弱性が存在します。

なお、SWAT は、Samba の初期設定では無効になっています。

想定される影響

ユーザが、当該製品に root 権限でログインした状態で悪意あるページを読み込んだ場合、Samba の設定を変更される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。

パッチを適用する
開発者が提供する情報をもとに各バージョンに対応するパッチを適用してください。

ベンダ情報

ベンダ リンク
Samba Cross-Site Request Forgery in SWAT
Samba Security Releases
Samba3 Release Planning
Samba-JP

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ラック 石川 芳浩 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-2522
JVN iPedia JVNDB-2011-002110