レッドハット等の複数ベンダの製品におけるデータの信頼性についての不十分な検証に関する脆弱性
| Title |
レッドハット等の複数ベンダの製品におけるデータの信頼性についての不十分な検証に関する脆弱性
|
| Summary |
Sambaの証明書自動登録グループポリシー処理に脆弱性が発見されました。証明書自動登録が有効になっている場合、Sambaは暗号化されていないHTTP接続を介してCA証明書を取得し、適切な検証を行わずにローカルの信頼ストアにインストールします。ネットワークトラフィックを傍受またはリダイレクトする能力を持つ攻撃者は、この動作を悪用して悪意のある認証局証明書を提供し、信頼された通信を傍受したりなりすましたりする可能性があります。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 27, 2026, midnight |
| Registration Date |
June 9, 2026, 2:14 p.m. |
| Last Update |
June 9, 2026, 2:14 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.8
|
| Vector |
CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Affected System
| レッドハット |
|
Red Hat Enterprise Linux 7.0
|
|
Red Hat Enterprise Linux 9.0
|
|
Red Hat OpenShift Container Platform 4.0
|
| Samba Project |
|
Samba 4.16.0 以上 4.21.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月09日]
掲載 |
June 9, 2026, 2:14 p.m. |
NVD Vulnerability Information
CVE-2026-3012
| Summary |
A flaw was found in Samba’s certificate auto-enrollment Group Policy handling. When certificate auto-enrollment is enabled, Samba may retrieve a CA certificate over an unencrypted HTTP connection and install it into the local trust store without proper verification. An attacker with the ability to intercept or redirect network traffic could exploit this behavior to supply a malicious certificate authority certificate, potentially allowing interception or spoofing of trusted communications.
|
| Publication Date |
May 27, 2026, 8:16 p.m. |
| Registration Date |
May 28, 2026, 4:10 a.m. |
| Last Update |
June 3, 2026, 3:16 p.m. |
Related information, measures and tools
Common Vulnerabilities List