Sudo コマンドの脆弱性に関する覚え書き
今回の sudo の脆弱性は Ubuntu が迅速に対応してくれたおかげであまり気にしてなかったんだけど,以下の記事を見て
ちょっと面白かったので覚え書きとして残しておくことにした1。 いやぁ,この手のうっかりバグは他人事じゃないよね。 上の記事の最後の
境界値チェックを行わないと、死ぬ
は本当に教訓として心に留めておかないと。 って,もう私は職業エンジニアじゃないけど。
CVE ID は CVE-2019-14287。 各ディストリビュータの評価は以下の通り。
- Red Hat Customer Portal
- CVSSv3 Vector:
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - CVSSv3 Base Score: 7.8
- CVSSv3 Severity: High
- CVSSv3 Vector:
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
- CVE-2019-14287 | SUSE
- CVSSv3 Vector:
CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H - CVSSv3 Base Score: 7.0
- CVSSv3 Severity: High
- CVSSv3 Vector:
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ローカル |
| 攻撃条件の複雑さ | 高 |
| 必要な特権レベル | 低 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
深刻度(Severity)が高いので早めのアップデートを。 アップデートは計画的に。
ブックマーク
-
Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化 - Engadget 日本版
-
spiegel-im-spiegel/go-cvss: Common Vulnerability Scoring System (CVSS) Version 3 : 久しぶりに使ったけど,1年近くメンテしてないな
参考図書
- 私はどのようにしてLinuxカーネルを学んだかゆたかさんの技術書
- 平田豊 (著), MBビジネス研究班 (著), MBビジネス研究班 (編集)
- まんがびと 2019-07-26 (Release 2019-07-26)
- Kindle版
- B07VJKJY7M (ASIN)
- 評価
読み物として面白かった。ペーペーの新人の頃を思い出しながら読んでたり。
-
念の為に言うと 4294967295 という数字は16進数なら 0xffffffff である。10進数だとピンとこないよね。 ↩︎