編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

Sudoコマンドの脆弱性報告--root権限でコマンド実行可能に

ZDNet Japan Staff

2019-10-16 13:52

 Sudoのバージョン1.8.28より以前の環境に存在するコマンド実行の脆弱性(CVE-2019-14287)が米国時間10月14日に報告された。Sudoは同日にバージョン1.8.28でこの脆弱性を解決しており、主要なLinuxディストビューターも情報を公開している。

 この脆弱性は、sudoコマンドを実行する際に引数で指定するユーザーIDの検証が適切に行われないというもの。脆弱性を悪用された場合、権限設定ファイルのsudoersでroot権限によるコマンド実行を許可していない場合でも、root権限でコマンドを実行できてしまう可能性がある。ただし悪用するには、sudoersで「ALL」のキーワードにより、他のユーザーとしてsudoコマンドを実行できる権限が設定されている必要があるという。

 Red Hat、Red Hat Enterprise Linux(RHEL) 5~9がこの脆弱性の影響を受けるとしたが、RHEL 5は既にサポート対象から外れているため注意が必要だ。Debianは、リリースjessie、stretch、bullseye, sid, busterの一部で脆弱性の影響を受けると説明、busterの1.8.27-1+deb10u1およびstretchの1.8.19p1-2.1+deb9u1で対策済みだとしている。

 SUSEは、SUSE OpenStack Cloudなど数十種類のパッケージが脆弱性の影響を受けるとしており、該当するパッケージと修正版のリストをウェブサイトで公開している。Ubuntuも一部を除いて修正対応を進めているとした。

 共通脆弱性評価システム(CVSS) バージョン3による脆弱性の影響度評価(最大値10.0)については、Red Hatが7.8、SUSEは7としている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]