2019年10月14日 (米国時間)、sudo コマンドの脆弱性 (CVE-2019-14287) が公開されました。 本脆弱性は、sudo コマンド実行時に引数指定で渡せるユーザ ID の検証が 十分ではないことが理由であり、悪用されると、sudoers で root で実行不可として権限を設定 しているにも関わらず、root 権限でコマンドが実行できてしまう可能性があります。
脆弱性の影響を受けるバージョンは次のとおりです。
- sudo 1.8.28 より前のバージョン
本脆弱性を悪用するには、sudoers において ALL キーワードにより他のユーザとして コマンドが実行できる権限が、sudo を実行するユーザに与えられている必要があります。
sudoers のエントリ例:
jpcert ALL=(ALL,!root) /path/to/command/aaa
実行コマンド (実行ユーザ jpcert):
sudo -u#-1 aaa (数値 -1 の箇所は 4294967295 も可)
対象となるバージョンを使用するユーザは、各ディストリビュータの情報などを参考に バージョンアップなどの対応を検討してください。
Sudo
Potential bypass of Runas user restrictions
https://www.sudo.ws/alerts/minus_1_uid.html
Red Hat Customer Portal
CVE-2019-14287
https://access.redhat.com/security/cve/CVE-2019-14287
Debian
CVE-2019-14287
https://security-tracker.debian.org/tracker/CVE-2019-14287
Ubuntu CVE Tracker
CVE-2019-14287
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14287.html
SUSE
CVE-2019-14287 Common Vulnerabilities and Exposures
https://www.suse.com/security/cve/CVE-2019-14287/
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ew-info@jpcert.or.jp