Sponsored Contents

Securityの最新記事

Image credit:
Save

Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化

アップデートはすぐに適用を

Munenori Taniguchi, @mu_taniguchi
2019年10月15日, 午後12:45 in Security
1830シェア
206
1624,"likes":1177
0

連載

注目記事

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待
12

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待

View

Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定ファイルsudoersを適切に設定していても、sudoを使えるユーザーなら完全なrootレベルでコマンドを実行できるようになるとのこと。すでに修正が施されたsudoコマンドがリリースされています。

この脆弱性は、sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります。さらに、指定されたユーザーIDがパスワードのデータベースに存在しないため、Linuxシステム上でアプリケーションが共通して使用するPAMユーザー認証のセッションモジュールが働かず、コマンドの実行にパスワードは要求されません。

問題の脆弱性はApple Information SecurityのJoe Vennix氏により発見・報告されました。すでに脆弱性を修正したsudoコマンドがリリースされており、これを含む各ディストリビューションのアップデートがすぐにも公開されるはずです。ただし、セキュリティ的に厳格なシステムを運用している場合は、sudoコマンドだけでも速やかに更新しておくのが良いかもしれません。


広告掲載についてのお問い合わせは ad-sales@verizonmedia.com までお知らせください。各種データなどは こちら のメディアガイドをあわせてご覧ください。

1830シェア
206
1624,"likes":1177
0

Sponsored Contents