OS Xのsudoの脆弱性、まだ修正されず
2013年9月3日 14:06
あるAnonymous Coward 曰く、 sudoコマンドにて、「時刻を1970年1月1日に設定することでパスワードの入力無しにroot権限を取得できる」という脆弱性が3月に発見された。すでに対策が行われたバージョンが公開されているのだが、Mac OS Xに含まれているsudoコマンドについてはまだ修正されずにこの問題が残されているという(Sophosのnakedsecurityブログ、ITmedia)。
sudoでは一度パスワードを入力すると、その後一定時間はパスワードの入力無しにroot権限が取得できるが、この機構に不具合があったというもの。対策としては、「-K」オプションを使って認証情報を削除する、timestamp_timeout設定値を0にして毎回のパスワード入力を必須にする、sudoを実行できるユーザーを制限する、などが挙げられている。
スラッシュドットのコメントを読む | アップルセクション | セキュリティ | MacOSX
関連ストーリー:
sudoはMicrosoftの特許に抵触する? 2009年11月13日
sudoのセキュリティリスクとは? 2008年02月14日