[linux-zaurus:744] Re: smb.conf on SL-C700

[Kenji Suzuki <kenji@xxxxxxxxxxxxxxxx>]

Kenji です。


かなり反応が遅れてしまいましたが...

On Mon, 30 Dec 2002 21:38:26 +0900
"Tomoyuki 'ZRY' Nakano" <zry@xxxxxxxxxxxxxxxx> wrote:

> なかの＠SL-C700ユーザです。
> ML 参加させていただきます。
> 
> SL-C700 の smb.conf に設定ミスと思われる個所がありましたので報告いたします。
> 
> SL-C700 の /usr/lib/samba/smb.conf には、
> 
> interfaces = usbd0
> 
> という記述がありますが、"bind interfaces only = yes" という記述がないため、
> samba を起動すると usbd0 以外のインタフェースにも bind されるようです。
> 
> 従って、無線 LAN カードや PHS カードを接続したまま USB 接続を行うと、
> 無線 LAN、PHS 経由でファイルアクセスされてしまう可能性があるかと思われます。
> 実際に無線 LAN カードを刺した状態で USB 接続をして試してみましたが、
> 無線 LAN のインタフェースに割り当てられたアドレスで smb アクセスができてしまいました。
> 
> 自分で /etc/rc.d/init.d/samba 等を叩いてを起動している方々は、そういうリスクは
> 承知済みかと思われるのですが、USB ケーブルを接続したときに samba は
> 自動的に起動されてしまうので、気付かないうちに危険にさらされている場合も
> ありえるのではと思います。
> 
> なお通信マネージャにシリアル接続を選んだ場合、どうなるかは未確認です。
> A300、B500 の場合も含めて、どなたか確認していただけませんでしょうか。

A300 で、

1. AirH" で prin に接続し、
2. その後、USBケーブルで PC と接続
3. インターネット上のホストから、以下を実行

$ smbclient -L 219.108.4.118
added interface ip=210.251.119.116 bcast=210.251.119.127 nmask=255.255.255.240
Password: 
Anonymous login successful
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 2.0.7-ja-2.2]

	Sharename      Type      Comment
	---------      ----      -------
	home           Disk      for User Data
	IPC$           IPC       IPC Service (Samba 2.0.7-ja-2.2)

	Server               Comment
	---------            -------
	SLA300               Samba 2.0.7-ja-2.2

	Workgroup            Master
	---------            -------
	WORKGROUP            SLA300

ということで、まる見えなのを確認しました。


> また、この情報についてどう取り扱ったらよいのか悩んでおります。
> 不覚にも、自分の Web ページにて本内容を公開してしまい、
> 「脆弱性情報の公開ですが、シャープ様へ報告しましたか？」とのご指摘を受けて、
> 慌ててシャープ様相談窓口へ設定内容の確認をメール致しました次第です。

> 年末年始休暇中なので、シャープ様ですぐに対応、というわけにもいかないと思いますし、
> 今回の場合、「通信カードを刺したままで PC と USB 接続しない」ということを徹底させれば
> 済む話なので、ユーザサイドで告知に努めるのがよいと思うのですが、如何でしょうか。

その後、シャープから回答はあったのでしょうか?
シャープからアナウンスがないなら、bugtraq-jp とかに投稿しますかね。

海外版Zsurus もやっぱり同じですかね?


// Kenji

--
ML: linux-zaurus@xxxxxxxxxxx
使い方: http://QuickML.com/