CVE-2025-0620

smbd doesn't pick up group membership changes when re-authenticating an expired SMB session (

『　CVE ID#: CVE-2025-0620
 
Kerberos認証のSMBセッションには通常、有効期間が設定されており、セッションの有効 期限が切れると、クライアントによる再認証が必要になります。再認証の一部として、Sambaは現在のグループメンバーシップ情報を 受け取り、この変更をSMBリクエスト処理に反映することが期待される。
 
歴史的な理由により、Sambaはユーザーのなりすまし情報と接続された共有の 関連付けのキャッシュを保持する。このキャッシュの最近の変更により、SambaはSMBリクエストを処理する際に、 セッションの再認証によるグループメンバーシップの変更を反映しない。
 
その結果、管理者がActive Directoryの特定のグループからユーザーを削除した場合、ユーザーがサーバーから切断し、新しい接続を確立しない限り、この変更は有効にならない。
』　以上、機械翻訳抜粋