United States Computer Emergency Readiness Team (US-CERT)は1月21日(米国時間)、「Samba Releases Security Updates|CISA」において、Sambaに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

CVE-2019-14902 - Replication of ACLs set to inherit down a subtree on AD Directory not automatic

CVE-2019-14907 - Crash after failed character conversion at log level 3 or above

CVE-2019-19344 - Use after free during DNS zone scavenging in Samba AD DC

脆弱性が存在するバージョンおよびプロダクトは次のとおり。かなり多くのバージョンにこの脆弱性が存在することになる。

Samba 4.0およびこれよりもあとのバージョン

21 January 2020 - Samba 4.11.5, 4.10.12 and 4.9.18 Security Releases Available|Samba

今回報告された脆弱性はどれも深刻度が警告に分類されている。該当する場合は回避策を実施しておき、次にアップデートするタイミングで問題の修正されたバージョンにアップデートすることが望まれる。

Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記の脆弱性情報をチェックするとともに、必要に応じて回避策とアップデートを実施することを推奨している。