Samba Team於當地時間9月30日就開放源碼的Windows交換文件服務器軟體“Samba”的安全漏洞發出警告。Samba 3.0.2之前的版本及2.2.9之前的版本中,可從外部訪問非公開文件夾,最新版的3.0.7中不存在該安全漏洞。
對策是升級到Samba 3.0.7或2.2.12,Smaba還提供了用於3.0.5之前版本的補丁。另外,在設置文件smb.conf中進行“wide links = no”設置也可以免受危險,該軟體的默認設置不是“wide links = no”。
此次安全漏洞的問題出在Samba處理文件夾名稱的功能中存在缺陷,可以指定未公開的文件夾進行訪問。Samba本來的處理是:在被請求的文件夾名稱與文件名稱中,無法指定表示上一級文件夾的“..”與“./”等文件夾。據發現問題的安全銷售商iDEFENSE稱,這一處理存在缺陷,可以指定路徑下的任意文件夾與文件。
Smaba最新版及補丁可從Smaba的正式網站(英文)下載。