2013-08-31

MAC OS Xのsudoにパスワードを入力しなくてもよくなるバグ

Mac OS X Sudo Password Bypass | Hacker News
Mac OS X Sudo Password Bypass ≈ Packet Storm

管理者権限を持つユーザーで、かつ、一度でもsudoを実行したことのあるユーザーならば、パスワードを入力しなくてもsudoが使えてしまうバグが発覚した。

sudoというのは、ご存知、管理者権限でプログラムを実行するプログラムだ。sudoを一度実行すると、しばらくの間(デフォルトでは15分間)、認証がキャッシュされ、sudoはパスワード入力なしで使えるようになる。この機能により、管理者権限を必要とする作業を集中して行う短時間の間に、何度もパスワードを入力する煩わしさをなくしている。

MAC OS X 10.7-10.8.4のsudoは、この「しばらくの間」を判定する方法にバグがあり、システムクロックを1970年1月1日(ご存知UNIX時間の起点)に設定すると、sudo -kが常に「しばらくの間」だと判定され、永久に使えてしまうバグがあるそうだ。

なんともお粗末なバグだ。

このバグは最新のMAC OS Xなら、すでに修正済みだそうだ。

追記:このバグMAC OS Xに限らないCVE-2013-1775として報告されたsudoのバグで、しかも今年に入ってから発覚したので、MAC OS X以外のOSの、結構最近のsudoのバイナリも該当する。

2 comments:

Anonymous said...

邪悪なとか不自由なとか使ってはいけないとかは書かなくていいんですか?

Anonymous said...

2013年も既に3分の2が過ぎたわけですが
C++11本はまだですか?