PR

 2000年8月30日,UNIX上で動作するソフト「Samba日本語版 2.0.7」の管理ツール「SWAT」に重大なセキュリティ・ホールがあることを,「日本Sambaユーザ会」が報告した。Sambaとは,UNIXマシンをWindows互換のファイル・サーバーやプリント・サーバーとして使用するためのソフトウエア。このSambaをWebベースで管理するツールがSWATである。このセキュリティ・ホールにより,ログ・ファイル(/tmp/cgi.log)から管理者のパスワードを読み出される可能性がある。

 対策としては,(1)SWATの使用を中止する,(2)ログ・ファイルのパーミッションを変更して管理者以外には読めないようにする,(3)バージョン・アップする,などが挙げられる。併せて,すでに存在するログ・ファイルを削除して,管理者のパスワードを変更しておく必要がある。ユーザ会では,セキュティ・ホールをふさいだSWATを含むSambaのソース・コードを公開している。

 なお,このセキュリティ・ホールはSamba日本語版 2.0.7のSWATだけの問題で,それ以前のバージョンや英語版,およびSamba本体には問題ない。

日本Sambaユーザ会のニュース・リリース(Samba-JP News Release 20000831-1)