2020年2月6日 sudo、10年来のバッファオーバーフロー脆弱性を修正 | gihyo.jp
sudoのメイン開発者であるTodd Millerは2月5日、pwfeedbackオプションが有効な場合にバッファオーバーフローを引き起こす可能性のあるバグが2009年のバージョン1.7.1より存在しており、1月31日にリリースした「sudo 1.8.31」においてその修正を含むアップデートを行ったことを明らかにした。 Buffer overflow when pwfeedback is set in sudoers この脆弱性は「CVE-2019-18634」として2019年10月にAppleのJoe Vennixにより最初に報告され、以後、追跡が行われてきた。Millerによれば、sudo 1.7.1からsudo 1.8.30までのバージョンがこの脆弱性の影響を受け、とくにsudo 1.26以前のバージョンを使っている場合は注意が必要だが、pwfeedbackオプションを有効にしていな
Big Sky :: sudo の特権昇格バグはなぜ起こったのか
« Microsoft Word を Markdown に変換するコマンド「docx2md」を作った。 | Main | VimConf 2019 を終えて » Linux の sudo に root 権限を奪取できるバグが見つかった。 Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化 - Engadget 日本版 この脆弱性は、sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります。 https://japanese.engadget.com/2019/10/14/linux-sudo-root-id/ 既に Ubuntu 等にはパッチが配布され始めているらしい
sudoers で複数エントリがマッチする場合について
Software sudoers で複数エントリがマッチする場合について※当サイトにはプロモーションが含まれています。 /etc/sudoers に、自アカウントが(1)ユーザとして該当するエントリと(2)グループとして該当するエントリの両方が存在する場合、どう適用されるか?を調べてみた。 man sudoers すると以下のように記述されている。 When multiple entries match for a user, they are applied in order. Where there are multiple matches, the last match is used (which is not necessarily the most specific match). man sudoers つまり、後に合致した設定が有効になる。 例として、以下の条件を考える。
特定のコマンドをパスワードなしでsudo する設定 - LukeSilvia’s diary
ちょい分かりにくかったので、設定メモです。やりたいことは、sudo で実行する際に、find コマンド等、よく使う、かつ、実行してもあまり被害がないコマンドに関しては、パスワード入力なしで実行できるようにしたいということです。 sudo コマンドに関する設定は、「/etc/sudoers」にかかれています。 設定を変更するのは、これを直接編集するのではなく、「visudo」コマンドを実行します。このコマンドで設定を行うと、終了時にSyntax のチェックなどを行ってくれます。 $sudo visudo ユーザー「lukesiliva」は、「find」コマンドだけについては、sudo で実行する際にパスワードを聞かれないようにしたいという設定は以下のようになります。 こで、find コマンドのみパスワード入力を求められず、他のコマンドをsudo で実行する際には、今まで通りパスワードを求めら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
