2013-08-31

MAC OS Xのsudoにパスワードを入力しなくてもよくなるバグ

Mac OS X Sudo Password Bypass | Hacker News
Mac OS X Sudo Password Bypass ≈ Packet Storm

管理者権限を持つユーザーで、かつ、一度でもsudoを実行したことのあるユーザーならば、パスワードを入力しなくてもsudoが使えてしまうバグが発覚した。

sudoというのは、ご存知、管理者権限でプログラムを実行するプログラムだ。sudoを一度実行すると、しばらくの間(デフォルトでは15分間)、認証がキャッシュされ、sudoはパスワード入力なしで使えるようになる。この機能により、管理者権限を必要とする作業を集中して行う短時間の間に、何度もパスワードを入力する煩わしさをなくしている。

MAC OS X 10.7-10.8.4のsudoは、この「しばらくの間」を判定する方法にバグがあり、システムクロックを1970年1月1日(ご存知UNIX時間の起点)に設定すると、sudo -kが常に「しばらくの間」だと判定され、永久に使えてしまうバグがあるそうだ。

なんともお粗末なバグだ。

このバグは最新のMAC OS Xなら、すでに修正済みだそうだ。

追記:このバグMAC OS Xに限らないCVE-2013-1775として報告されたsudoのバグで、しかも今年に入ってから発覚したので、MAC OS X以外のOSの、結構最近のsudoのバイナリも該当する。

2 comments:

  1. 邪悪なとか不自由なとか使ってはいけないとかは書かなくていいんですか?

    ReplyDelete
  2. 2013年も既に3分の2が過ぎたわけですが
    C++11本はまだですか?

    ReplyDelete

You can use some HTML elements, such as <b>, <i>, <a>, also, some characters need to be entity referenced such as <, > and & Your comment may need to be confirmed by blog author. Your comment will be published under GFDL 1.3 or later license with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.