sudoにroot権限を得られるバグ 8
ストーリー by Oliver
ヒープ破壊 部門より
ヒープ破壊 部門より
k3c 曰く、 "sudo-announceメーリングリストでアナウンスされたところによれば、sudoの1.5.7~1.6.5p2までのバージョンにmalloc()絡みのバグがあり、ローカルユーザーがroot権限でコマンドを実行できてしまうそうです。sudoでパスワードを要求する際のプロンプトを指定する-pオプションの処理に問題があったらしく、発見者のBugTraqへの投稿では攻略のヒントが公開されています。すでに対応済のバージョン1.6.6と旧バージョンへのパッチが公開されていますので、特にsudoを不特定多数がアクセスする環境に置いているヒトは急いで対策すべし。"
SUDO のオフィシャルサイトは (スコア:1)
# 蛇足かな...と思いつつ。
RPM出ました (スコア:0)
sudoユーザー会があったら(オフトピ) (スコア:0)
会員の人々とは気が合いそうです。ものぐさ管理者連合会ってかんじで。
Re:sudoユーザー会があったら(オフトピ) (スコア:0)
# どんな作業でも root でってパターン。え? そんなの管理者じゃない? そうかも ;-)
わたしはてきとうにものぐさなので、OSインストールの手順のうちとして必ず sudo 入れてますけど。
Re:sudoユーザー会があったら(オフトピ) (スコア:0)
設定は「%wheel ALL=(ALL) NOPASSWD: ALL」だけ。
これってやっぱりマズイのかなあ。
Re:sudoユーザー会があったら(オフトピ) (スコア:0)
Re:sudoユーザー会があったら(オフトピ) (スコア:0)
自分管理下のマシンでは、sudo は NOPASSWD、ssh は RSA(か DSA)認証でノーパスワードな設定なので、どこか一箇所やられたら連鎖的に全滅だよなー、ヤバいよなー、と。
Re:sudoユーザー会があったら(オフトピ) (スコア:0)
で、手元の OSX 10.1.4(5Q125)で sudo -V してみると
Sudo version 1.6.5p2
ビンゴ あぷーさんパッチ早めによろしくねん。