Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480

セキュリティニュース

投稿日時: 更新日時:

Sambaに2件の致命的な脆弱性-CVE-2026-4408とCVE-2026-4480

Samba Teamは2026年5月26日、Samba 4.24.3、4.23.8、4.22.10をセキュリティリリースとして公開しました。

今回の更新では、CVE-2026-4408、CVE-2026-4480、CVE-2026-2340、CVE-2026-3012、CVE-2026-3238、CVE-2026-1933の6件が修正されています。

特に注意が必要なのは、CVSS 10.0と評価された2件の認証不要リモートコード実行な脆弱性です。CVE-2026-4480はSambaの印刷サブシステム、CVE-2026-4408はSamba DCE/RPC SAMRサーバに関係します。

いずれも特定の設定条件を満たす場合に影響します。全てのSamba環境が同じ危険度で影響を受けるわけではありませんが、Sambaはファイル共有、認証連携、NAS、Linuxサーバ、AD連携環境、複合機・印刷環境で広く利用されるため、情報システム部門はバージョン確認と設定確認を優先して実施する必要があります。

この記事のサマリー

  • Samba 4.24.3、4.23.8、4.22.10がセキュリティリリースとして公開されました。
  • 修正された脆弱性は6件です。
  • CVE-2026-4408とCVE-2026-4480は、CVSS 10.0の認証不要リモートコード実行脆弱性です。
  • CVE-2026-4480は、print command%Jを含むSamba印刷サーバが影響を受けます。
  • CVE-2026-4408は、check password script%uを含み、samba-dcerpcdがシステムサービスとして起動する非標準構成のSambaファイルサーバやclassic domain controllerが影響を受けます。
  • Active Directory Domain Controllerは、CVE-2026-4408については影響を受けないと説明されています。
  • WORM vfs、証明書自動登録GPO、AD DC WINS、reparse point関連の脆弱性も修正されています。
  • 対象環境では、Sambaの更新に加え、smb.conf内の印刷設定、パスワードチェック用スクリプト、WINS、WORM vfs、GPO設定を確認する必要があります。

何が起きたか

Samba Teamは2026年5月26日、Samba 4.24.3、4.23.8、4.22.10を公開しました。

各リリースノートでは、今回のリリースが6件のセキュリティ欠陥に対応するためのセキュリティリリースであると説明されています。対象となるCVEは、CVE-2026-1933、CVE-2026-2340、CVE-2026-3012、CVE-2026-3238、CVE-2026-4408、CVE-2026-4480です。

SecurityOnlineは、今回の更新について、CVSS 10.0のリモートコード実行脆弱性2件を含むSambaの重要なセキュリティ更新として報じています。

修正版は以下です。

系統 修正版
Samba 4.24系 Samba 4.24.3
Samba 4.23系 Samba 4.23.8
Samba 4.22系 Samba 4.22.10

Samba Teamは、管理者に対し、これらのバージョンへアップグレードするか、公開されたパッチをできるだけ早く適用するよう案内しています。

修正された脆弱性

CVE CVSS 影響機能 概要
CVE-2026-4408 10.0 DCE/RPC SAMRサーバ 非標準構成のSambaファイルサーバやclassic domain controllerで認証不要RCEの恐れ
CVE-2026-4480 10.0 印刷サブシステム print command%Jを介した認証不要RCEの恐れ
CVE-2026-3012 8.0 証明書自動登録GPO CA証明書をHTTP経由で検証なく取得し、攻撃者の証明書を信頼する恐れ
CVE-2026-3238 7.5 AD DC WINSサーバ 認証不要UDPパケットでNULLポインタ参照によりDoSの恐れ
CVE-2026-1933 7.1 reparse point操作 読み取り専用共有上でreparse point xattrを変更できる恐れ
CVE-2026-2340 6.5 WORM vfs 保護対象ファイルをrename操作で上書きできる恐れ

CVE-2026-4480:印刷サブシステムの認証不要RCE

CVE-2026-4480は、Sambaの印刷サブシステムに存在する認証不要のリモートコード実行脆弱性です。

影響を受けるのは、print command設定に%J置換文字を含むSamba印刷サーバです。Samba Teamのアドバイザリでは、クライアントが制御できる印刷ジョブの説明文字列が、print command設定の%Jを介してコマンドへ渡される際、シェルメタ文字が適切にエスケープされないため、リモートコード実行につながると説明されています。

この脆弱性のCVSS v3.1は10.0です。

特に注意が必要なのは、Sambaの印刷サーバでは、デフォルトでゲストユーザーが印刷できる場合がある点です。つまり、印刷共有が有効で、該当するprint command設定がある場合、認証なしで攻撃される可能性があります。

一方で、printing = cupsまたはprinting = iprintを使用している印刷サーバや、print command%Jを含まない環境は影響を受けないと説明されています。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "print command"
testparm -sv 2>/dev/null | grep -i "printing"

print command%Jが含まれている場合は、修正版への更新を優先してください。すぐに更新できない場合は、%Jを削除する、またはSamba Teamが案内しているように%Jを直接シングルクォートで囲む緩和策を検討します。ただし、シングルクォートで囲んでもコマンドラインオプションの注入リスクが残る可能性があるため、根本対応は修正版への更新です。

CVE-2026-4408:DCE/RPC SAMRサーバの認証不要RCE

CVE-2026-4408は、Samba DCE/RPC SAMRサーバに存在する認証不要のリモートコード実行脆弱性です。

影響を受けるのは、Sambaファイルサーバおよびclassic non-AD domain controllerのうち、samba-dcerpcdがシステムサービスとして起動し、さらにcheck password script%u置換文字を含む構成です。

Samba Teamの説明では、SAMR DCE/RPCサービスのSamValidatePasswordChangeおよびSamValidatePasswordReset RPCサービスが、smb.confで設定されたcheck password scriptへユーザー名とパスワードを渡します。このとき、%u置換文字を使用している場合、クライアントが制御可能なユーザー名がシェルメタ文字をエスケープされないままスクリプトへ渡され、リモートコード実行につながる可能性があります。

この脆弱性のCVSS v3.1は10.0です。

ただし、影響条件は限定的です。Samba Teamは、この構成が複数の点で非標準であると説明しています。Active Directory Domain Controllerは、ユーザー名を%uで展開しないため、CVE-2026-4408の影響を受けません。また、標準構成ではrpc start on demand helpersyesであり、smbdが脆弱なコードへ到達できない形でsamba-dcerpcdを起動します。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "check password script"
testparm -sv 2>/dev/null | grep -i "rpc start on demand helpers"

check password script%uが含まれ、かつrpc start on demand helpers = noとなっている場合は、影響を受ける可能性があります。

すぐに更新できない場合は、rpc start on demand helpersをデフォルトのyesに戻し、check password script%uを使わず、SAMBA_CPS_ACCOUNT_NAME環境変数からユーザー名を取得する形へ変更することが推奨されています。

CVE-2026-3012:証明書自動登録GPOの信頼経路に関する問題

CVE-2026-3012は、証明書自動登録GPOに関する脆弱性です。

Samba Teamによると、ドメインメンバーで証明書自動登録GPOが有効な場合、CA証明書を平文HTTPで取得し、信頼ストアへインストールしてしまう可能性があります。本来、ドメインメンバーはより安全なLDAP経由で証明書へアクセスできるため、HTTP経由で取得する必要はありません。

攻撃者がローカルネットワーク上でHTTP応答を傍受または改ざんできる場合、攻撃者が選んだ証明書を信頼させることができる恐れがあります。

CVSS v3.1は8.0です。

影響を受けるのは、Samba 4.16以降のうち、証明書自動登録GPOを有効にしている構成です。Samba Teamは、Windows GPMEで証明書自動登録を有効化していない場合や、smb.confapply group policies = yesがない場合、脆弱なコードは実行されないと説明しています。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "apply group policies"

証明書自動登録GPOを利用している環境では、Samba更新後に証明書配布や信頼ストアの状態を確認してください。

CVE-2026-3238:AD DC WINSサーバのDoS

CVE-2026-3238は、SambaがActive Directory Domain Controllerとして構成され、WINSサーバ機能が有効な場合に影響するDoS脆弱性です。

Samba Teamのアドバイザリでは、AD DCコード内のWINSサーバコンポーネントが、認証不要のUDPパケットによりNULLポインタ参照を起こし、クラッシュする可能性があると説明されています。

CVSS v3.1は7.5です。

この脆弱性は、wins support = yes[global]セクションで明示的に設定されている場合に影響します。WINSサーバが不要な環境では、この設定を削除することが緩和策として案内されています。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "wins support"

WINSは古いNetBIOS名前解決に関係する機能です。現在の環境で不要であれば、無効化を検討してください。

CVE-2026-1933:reparse point操作のアクセスチェック不足

CVE-2026-1933は、Samba 4.21以降に影響するreparse point操作のアクセスチェック不足です。

Samba Teamによると、read only = yesと設定された共有や、読み取り専用で開かれたファイルハンドルであっても、ファイルシステムレベルで書き込み権限を持つユーザーが、reparse point xattrを設定または削除できる可能性があります。

reparse pointは、Windowsにおけるシンボリックリンク表現にも使われます。そのため、攻撃者は条件を満たすファイルをWindowsやLinuxクライアントから見たシンボリックリンクのように変更できる可能性があります。また、既存ファイルをreparse pointへ変更することで、通常利用者が対象ファイルシステムを利用できない状態にする可能性もあります。

CVSSは7.1です。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "read only"

Samba Teamは、read only = yes共有へアクセスするユーザーに対し、エクスポート対象ファイルへのファイルシステムレベルの書き込み権限を持たせないことを回避策として示しています。

CVE-2026-2340:WORM vfsで保護ファイルを上書きできる問題

CVE-2026-2340は、SambaのWORM vfsモジュールに関する脆弱性です。

WORMはWrite-Once, Read-Manyの略で、作成後のファイルを書き換えできないようにするための機能です。Samba Teamによると、vfs_wormモジュールは、ファイル作成後一定時間が経過するとSMB経由でファイルを不変にすることを目的としています。

しかし今回の脆弱性では、rename処理において、リネーム元ファイルがまだ変更可能かどうかは確認していたものの、リネーム先がすでにWORM保護されたファイルかどうかを確認していませんでした。その結果、書き込み権限を持つ攻撃者が一時ファイルを作成し、保護対象ファイルへrenameすることで、保護対象ファイルを上書きできる可能性があります。

CVSS v3.1は6.5です。

ただし、Samba Teamは、この脆弱性が基盤となるファイルシステムのアクセス制御や、他のSambaモジュールを回避するものではないと説明しています。つまり、通常持っていない権限を新たに得られるものではなく、WORM vfsによる追加保護が期待通りに機能しない問題です。

確認すべき設定

testparm -sv 2>/dev/null | grep -i "vfs objects"
testparm -sv 2>/dev/null | grep -i "worm"

WORM vfsを監査保存、証跡、改ざん防止、バックアップ保護に使っている場合は、優先的に更新してください。

影響範囲

今回の修正はSamba 4.22.10、4.23.8、4.24.3で提供されています。

Samba Teamの各アドバイザリでは、CVEごとに影響バージョンが異なります。

CVE 影響バージョン・条件
CVE-2026-4408 全バージョン。ただし非標準構成のSambaファイルサーバ、classic non-AD domain controllerが対象
CVE-2026-4480 全バージョン。ただしprint command%Jを含む印刷サーバが対象
CVE-2026-3012 Samba 4.16以降。証明書自動登録GPOが有効な場合
CVE-2026-3238 Samba 4.0以降。AD DCでWINSサーバが明示的に有効な場合
CVE-2026-1933 Samba 4.21以降
CVE-2026-2340 Samba 4.20以降。ただしWORM vfs利用環境が中心

Sambaをディストリビューションのパッケージで利用している場合は、Samba公式バージョンとパッケージバージョンが一致しないことがあります。Red Hat、Ubuntu、Debian、SUSE、AlmaLinux、Rocky Linux、NASベンダー、アプライアンスベンダーのセキュリティ更新も確認してください。

すぐに実施すべき対応

Step 1:Sambaの利用有無を確認する

まず、自社でSambaを利用しているサーバを洗い出してください。

確認対象は、明示的なLinuxファイルサーバだけではありません。NAS、バックアップサーバ、部門サーバ、複合機連携、古い業務システム、検証環境、拠点ファイル共有にもSambaが使われている場合があります。

smbd -V
samba -V
rpm -qa | grep -i samba
dpkg -l | grep -i samba

Step 2:修正版へ更新する

Sambaを直接ソースから導入している場合は、Samba 4.24.3、4.23.8、4.22.10へ更新してください。

OSパッケージで利用している場合は、各ディストリビューションが提供するセキュリティ更新を適用してください。

# Debian / Ubuntu系
sudo apt update
sudo apt list --upgradable | grep samba
sudo apt upgrade

# RHEL / AlmaLinux / Rocky Linux系
sudo dnf update samba\*

更新後は、Sambaサービスの再起動やサーバ再起動が必要になる場合があります。

sudo systemctl restart smb nmb winbind
sudo systemctl restart samba-ad-dc

サービス名はディストリビューションや構成により異なります。

Step 3:印刷サブシステムの設定を確認する

CVE-2026-4480の影響確認として、print command%Jが含まれていないか確認してください。

testparm -sv 2>/dev/null | grep -i "print command"
testparm -sv 2>/dev/null | grep -i "printing"

確認すべきポイントは以下です。

項目 危険な状態
print command %Jが含まれている
ゲスト印刷 ゲストユーザーが印刷可能
印刷共有 不要な印刷共有が残っている
CUPS / iprint 該当構成かどうか確認
複合機連携 古い部門サーバで独自print commandを使用

不要な印刷機能は無効化し、印刷共有が必要な場合もアクセス元と認証を制限してください。

Step 4:check password scriptとDCE/RPC設定を確認する

CVE-2026-4408の影響確認として、check password scriptrpc start on demand helpersを確認します。

testparm -sv 2>/dev/null | grep -i "check password script"
testparm -sv 2>/dev/null | grep -i "rpc start on demand helpers"

確認すべきポイントは以下です。

項目 危険な状態
check password script %uを含んでいる
rpc start on demand helpers noに設定されている
構成 ファイルサーバまたはclassic non-AD domain controller
AD DC CVE-2026-4408はAD DCには影響しないと説明されています
パスワードポリシー 外部スクリプトで独自に検査している

check password script%uを使っている場合は、SAMBA_CPS_ACCOUNT_NAME環境変数からユーザー名を取得する形へ変更することを検討してください。

Step 5:WINS、WORM vfs、GPO設定を確認する

今回のリリースでは、RCE以外の高深刻度脆弱性も修正されています。

testparm -sv 2>/dev/null | grep -i "wins support"
testparm -sv 2>/dev/null | grep -i "vfs objects"
testparm -sv 2>/dev/null | grep -i "worm"
testparm -sv 2>/dev/null | grep -i "apply group policies"

確認すべき項目は以下です。

設定 関係するCVE 確認内容
wins support = yes CVE-2026-3238 AD DCでWINSが必要か
vfs objects = worm CVE-2026-2340 WORM保護を監査・証跡用途に使っているか
apply group policies = yes CVE-2026-3012 証明書自動登録GPOが有効か
read only = yes CVE-2026-1933 OS側書き込み権限と共有設定が矛盾していないか

使っていない機能は無効化してください。特にWINSや古い印刷共有は、運用上不要になっていても設定だけ残っていることがあります。

Step 6:Sambaサーバの公開範囲を確認する

Sambaは原則としてインターネットへ公開すべきではありません。

今回のRCE脆弱性は特定設定が必要ですが、SMBやRPCを外部へ公開している環境では、脆弱性の有無にかかわらずリスクが高くなります。

確認すべきポートは以下です。

ポート 用途
TCP 445 SMB
TCP 139 NetBIOS Session Service
UDP 137 NetBIOS Name Service
UDP 138 NetBIOS Datagram Service
TCP 135 RPC Endpoint Mapper
動的RPCポート 構成により利用

外部公開の有無は、ファイアウォール、クラウドセキュリティグループ、VPN内ルーティング、拠点間通信、ゼロトラスト接続を含めて確認してください。

監視で確認すべきポイント

更新とあわせて、悪用の兆候がないか確認してください。

確認対象 見るべき内容
Sambaログ 認証失敗、異常なRPCアクセス、印刷ジョブ異常
syslog smbdsamba-dcerpcd、印刷関連プロセスの異常
プロセス smbdや印刷スクリプト配下での不審なシェル起動
ファイル共有 不審なファイル作成、rename、シンボリックリンク化
WINS UDPパケット後のクラッシュや再起動
EDR Sambaサーバ上でのcurl、wget、bash、python、perlなどの不審実行
ネットワーク SMB/RPCへの外部または通常外セグメントからの接続
印刷ログ 不自然な印刷ジョブ名、ゲスト印刷、短時間大量ジョブ

特にCVE-2026-4480では、印刷ジョブ説明文字列が攻撃に関係します。不自然なジョブ名、特殊文字を含むジョブ、印刷サーバ上でのシェル起動を確認してください。

CVE-2026-4408では、check password scriptを利用する環境で、パスワード変更・リセットRPCやsamba-dcerpcd周辺のログを確認する必要があります。

ファイルサーバ運用で注意すべきポイント

Sambaサーバは、社内の重要ファイル、共有フォルダ、バックアップ、部門別データを保管していることがあります。

侵害された場合、攻撃者はファイル閲覧、改ざん、削除、圧縮、外部送信、ランサムウェア展開に進む可能性があります。今回の脆弱性対応では、バージョン更新だけでなく、Sambaサーバ上の権限と共有設定も確認してください。

確認すべき項目は以下です。

項目 内容
共有一覧 不要な共有が残っていないか
ゲストアクセス guest ok = yesが不要に設定されていないか
書き込み権限 読み取り専用共有とOS権限が矛盾していないか
管理者権限 Sambaサーバ上のroot・sudo権限の利用状況
バックアップ Sambaサーバと同じ認証情報でバックアップへ到達できないか
ログ保全 インシデント調査に十分なログ期間があるか
EDR導入 LinuxサーバにもEDRや監査ログがあるか

今後確認すべきこと

今回のSamba更新は、CVSS 10.0のRCE脆弱性2件を含む重要な内容です。

現時点で、Samba公式アドバイザリには実際の悪用確認に関する記載はありません。ただし、パッチ公開後は攻撃者が差分解析を行い、PoCや検証コードを作成する可能性があります。特に、印刷サブシステムやcheck password scriptのような設定依存の脆弱性は、公開情報から確認スクリプトを作成しやすい点に注意が必要です。

今後確認すべき点は以下です。

確認点 理由
ディストリビューションの更新提供 OSパッケージでSambaを利用している場合、公式版と更新タイミングが異なる
NAS・アプライアンスの更新 ベンダー独自ビルドのSambaが含まれている可能性
PoC公開の有無 CVSS 10.0のRCEは検証コード公開後に攻撃が増える可能性
外部公開SMBの有無 インターネット公開されているSMBは優先対応
印刷共有の必要性 使っていない印刷機能は無効化
古い共有サーバ 部門管理・拠点管理のSambaが資産台帳から漏れやすい

参考情報・出典