Sudoコマンドの脆弱性報告--root権限でコマンド実行可能に

ZDNET Japan Staff

2019-10-16 13:52

 Sudoのバージョン1.8.28より以前の環境に存在するコマンド実行の脆弱性(CVE-2019-14287)が米国時間10月14日に報告された。Sudoは同日にバージョン1.8.28でこの脆弱性を解決しており、主要なLinuxディストビューターも情報を公開している。

 この脆弱性は、sudoコマンドを実行する際に引数で指定するユーザーIDの検証が適切に行われないというもの。脆弱性を悪用された場合、権限設定ファイルのsudoersでroot権限によるコマンド実行を許可していない場合でも、root権限でコマンドを実行できてしまう可能性がある。ただし悪用するには、sudoersで「ALL」のキーワードにより、他のユーザーとしてsudoコマンドを実行できる権限が設定されている必要があるという。

 Red Hat、Red Hat Enterprise Linux(RHEL) 5~9がこの脆弱性の影響を受けるとしたが、RHEL 5は既にサポート対象から外れているため注意が必要だ。Debianは、リリースjessie、stretch、bullseye, sid, busterの一部で脆弱性の影響を受けると説明、busterの1.8.27-1+deb10u1およびstretchの1.8.19p1-2.1+deb9u1で対策済みだとしている。

 SUSEは、SUSE OpenStack Cloudなど数十種類のパッケージが脆弱性の影響を受けるとしており、該当するパッケージと修正版のリストをウェブサイトで公開している。Ubuntuも一部を除いて修正対応を進めているとした。

 共通脆弱性評価システム(CVSS) バージョン3による脆弱性の影響度評価(最大値10.0)については、Red Hatが7.8、SUSEは7としている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]