セキュリティ情報

NTTデータ・セキュリティ、sudoコマンドの不正権限昇格の脆弱性を報告

NTTデータ・セキュリティは11月18日、sudoコマンドに権限を不正に昇格してしまう脆弱性があるというレポートを発表した。この脆弱性を悪用すると、ローカル環境において、一般ユーザが管理者権限を奪取する恐れがあるという。また、レポートの中では、脆弱性に関する再現性について検証を行ったとしている。

レポートによると、影響を受けるシステムは、sudo 1.6.9p18以前のバージョンだという。11月22日現在、この脆弱性を修正したバージョン・パッチのリリースは行われていない。この脆弱性は、「1.setenvを設定している場合」「2.一般ユーザに、sudoによる管理者権限でのコマンド実行を許可している場合」の両方を満たす場合に、設定されている一般ユーザが権限昇格の脆弱性を悪用することが可能になってしまうため、これを無効にすることが暫定的な対策となる。また、修正版がリリースされた場合には、速やかに最新版へアップデートすることが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
NTTデータ・セキュリティによるレポート(pdf)
sudo公式ページ(英語)

このエントリーをはてなブックマークに追加