Linuxの「sudo」コマンドにroot権限奪取の脆弱性

HOMEリナックスマスター.JP 公式ブログLinux情報・技術・セキュリティ > Linuxの「sudo」コマンドにroot権限奪取の脆弱性

Linuxサーバー管理者の技術を2日で学べる「初心者向けリナックスセミナー」
独学で1年以上掛かるプロの技術を、たった2日で習得できます。
Linuxは業界でもトップレベルの需要がありますが、技術者不足が深刻です。
あなたがいま始めれば、
数カ月後、数年後の「キャリア」と「年収」に大きなインパクトを与えます。

一生使える本物のLinux技術を短期マスターしませんか?
ライバルが少ない今だからこそ、始めるチャンスです。

リナックスマスター2日間集中セミナー【CentOS7版】
 (今すぐ↑をクリックしてください。)

Linuxの「sodo」コマンドに深刻な脆弱性が発見されました。

本来であれば、root権限を使用できない
ユーザーでもそれが奪取可能になるというものです。
これは、sudoの権限設定ファイル「sudoers」を
正しく設定していも発生する脆弱性になり、
完全にrootとして振る舞えます。

速やかなsudoコマンドの更新が必要ですが、
2019/10/16現在、ディストリビューションによっては、
更新が用意できていない場合があります。

以下、アナウンスサイトの引用となります。

この脆弱性は、sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります。さらに、指定されたユーザーIDがパスワードのデータベースに存在しないため、Linuxシステム上でアプリケーションが共通して使用するPAMユーザー認証のセッションモジュールが働かず、コマンドの実行にパスワードは要求されません。
Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化

事象再現などの詳しい情報は下記ページが参考になります。
sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)
AWSにおけるsudo脆弱性情報(CVE-2019-14287)の対応状況をまとめてみた

スポンサードリンク


■CentOS7サーバー構築マニュアルを無料プレゼント
下記3冊のマニュアルを無料プレゼントしています。
・CentOS7サーバー構築マニュアル(105ページ)
・VMware Playerで作る仮想Linux環境構築マニュアル(40ページ)
・DB(PostgreSQL・MySQL)構築・CentOSバージョンアップマニュアル(33ページ)

※常に最新のCentOSが使用できます。
詳しくは↓のページで説明しています。今すぐクリックしてください。
 無料マニュアルをダウンロードする  無料マニュアルをダウンロードする