Sudo コマンドの脆弱性に関する覚え書き

no extension

今回の sudo の脆弱性は Ubuntu迅速に対応してくれたおかげであまり気にしてなかったんだけど,以下の記事を見て

ちょっと面白かったので覚え書きとして残しておくことにした1。 いやぁ,この手のうっかりバグは他人事じゃないよね。 上の記事の最後の

境界値チェックを行わないと、死ぬ
via sudo の特権昇格バグはなぜ起こったのか

は本当に教訓として心に留めておかないと。 って,もう私は職業エンジニアじゃないけど。

CVE ID は CVE-2019-14287。 各ディストリビュータの評価は以下の通り。

  • Red Hat Customer Portal
    • CVSSv3 Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • CVSSv3 Base Score: 7.8
    • CVSSv3 Severity: High
基本評価基準 評価値
攻撃元区分 ローカル
攻撃条件の複雑さ
必要な特権レベル
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響
完全性への影響
可用性への影響
  • CVE-2019-14287 | SUSE
    • CVSSv3 Vector: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
    • CVSSv3 Base Score: 7.0
    • CVSSv3 Severity: High
基本評価基準 評価値
攻撃元区分 ローカル
攻撃条件の複雑さ
必要な特権レベル
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響
完全性への影響
可用性への影響

深刻度(Severity)が高いので早めのアップデートを。 アップデートは計画的に。

ブックマーク

参考図書

photo
私はどのようにしてLinuxカーネルを学んだかゆたかさんの技術書
平田豊 (著), MBビジネス研究班 (著), MBビジネス研究班 (編集)
まんがびと 2019-07-26 (Release 2019-07-26)
Kindle版
B07VJKJY7M (ASIN)
評価     

読み物として面白かった。ペーペーの新人の頃を思い出しながら読んでたり。

reviewed by Spiegel on 2019-10-16 (powered by PA-APIv5)


  1. 念の為に言うと 4294967295 という数字は16進数なら 0xffffffff である。10進数だとピンとこないよね。