sudoの脆弱性 CVE-2019-14287 をcode levelで追ってみる | ytn.out
注意書き あくまでも個人が,研究の息抜きに趣味程度に調べたことである.隅々まで調べたわけではないため誤りを含んでいる可能性がある.(間違いを見つけたらこっそり教えて下さい)鵜呑みにしないこと.検証すること. 体系的に記述しておらず,また飛び飛びで分かりづらいのは申し訳ない. TL; DR; 2019年10月14日に公開された,sudoの脆弱性CVE-2019-14287をコードレベルで追ってみた公開されている情報のとおり,uidが-1かどうかのcheckをせず,setresuidに渡しているため,sudoersの制約( “!root”; rootとしての実行を禁止) を回避しrootとして実行できていたpatch自体はrepoではすでにできている様子なので,そのうち各Linuxのpackage managerでも入るようになると思われる patchを待てない人は,sudoersにおいて 次
「sudoコマンドの脆弱性はSELinuxが有効になっていたため」が誤解であるワケ
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。 「OSSセキュリティ技術の会」の面和毅です。本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を定期的に取り上げ、解説していきます。 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性(CVE-2017-1000367/CVE-2017-1000368)が報告されました。連載初回は、こちらの詳しい説明と情報をまとめます。 脆弱性発見の経緯 2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性(CVE-2017-1000367)が報告さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
