Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化

アップデートはすぐに適用を

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2019年10月15日, 午後 12:45 in Security
0シェア
FacebookTwitter
command
Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定ファイルsudoersを適切に設定していても、sudoを使えるユーザーなら完全なrootレベルでコマンドを実行できるようになるとのこと。すでに修正が施されたsudoコマンドがリリースされています。この脆弱性は、sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります。さらに、指定されたユーザーIDがパスワードのデータベースに存在しないため、Linuxシステム上でアプリケーションが共通して使用するPAMユーザー認証のセッションモジュールが働かず、コマンドの実行にパスワードは要求されません。

問題の脆弱性はApple Information SecurityのJoe Vennix氏により発見・報告されました。すでに脆弱性を修正したsudoコマンドがリリースされており、これを含む各ディストリビューションのアップデートがすぐにも公開されるはずです。ただし、セキュリティ的に厳格なシステムを運用している場合は、sudoコマンドだけでも速やかに更新しておくのが良いかもしれません。

【Engadget Live】iPhone 12発売日速攻レビュー

 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: command line, gear, linux, operating system, personal computing, personalcomputing, Security, software, unix, vulnerability
0シェア
FacebookTwitter

Sponsored Contents