パスワードを忘れた? アカウント作成
9909432 story
MacOSX

OS Xのsudoの脆弱性、まだ修正されず 77

ストーリー by hylom
一般人は使わないからとスルーされているのか 部門より
あるAnonymous Coward 曰く、

sudoコマンドにて、「時刻を1970年1月1日に設定することでパスワードの入力無しにroot権限を取得できる」という脆弱性が3月に発見された。すでに対策が行われたバージョンが公開されているのだが、Mac OS Xに含まれているsudoコマンドについてはまだ修正されずにこの問題が残されているという(SophosのnakedsecurityブログITmedia)。

sudoでは一度パスワードを入力すると、その後一定時間はパスワードの入力無しにroot権限が取得できるが、この機構に不具合があったというもの。対策としては、「-K」オプションを使って認証情報を削除する、timestamp_timeout設定値を0にして毎回のパスワード入力を必須にする、sudoを実行できるユーザーを制限する、などが挙げられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by saitoh (10803) on 2013年09月03日 15時00分 (#2453053)
    システムのカレンダーを1970/1/1に設定できる権限を持った人がsudoできて何かものすごく困るのでしょうか?
    • by Anonymous Coward

      昔の箱のMacだと、電池抜いてしばらく置いておくと時計がその日付にリセットされてましたが…
      今のMacProでもできるのかな?

      • by Anonymous Coward

        MBP ですが、バッテリーが完全になくなると時間が 0(1970/1/1)にリセットされます。
        パスワードありのアカウントと、パスワード不要のアカウントを利用している場合は問題になりそうですね。

        # ゲストアカウントはsudoできるのか?

    • by Anonymous Coward

      これがスコア2という点で、やっぱ危険なんじゃね?
      自分にどういうリスクがあるかよく分かってない、だから安全っていう事か。

      ドヤ顔してsudo使ってる奴が居なくなるのは、Mac的には良い方向なのかも。
      だからあれほどunixではないと(以下略)

    • by Anonymous Coward

      なんかリンク記事見ると、古いsudoの-kオプションの仕様上の不具合って感じですね。
      -kの進化版-Kでスクリプト内でも事足りそうで、-kはレガシーな負の遺産だったというところ。
      脆弱性ではあるけれど、それほど危険度高くないでしょうね。

      たとえば、ハードウェアの時刻リセットはネットワーク引っこ抜いて、電池抜けばできそうだから、
      夜中こっそりハードウェアにアクセスできれば、気づかれないようにいろいろ仕込むのは可能かな。
      それができれば、シングルユーザモード(Macにあるのか?)にするほうが早い?

  • by Anonymous Coward on 2013年09月03日 14時26分 (#2453030)

    元々sudoで昇格できるユーザが、パスワードなしに昇格できるだけなので、優先度が低いんだと思います。
    スクリーンをロックせずに離席しなければいいだけですし。

    • by Anonymous Coward

      マカーのおどろきの擁護論。
      マックユーザーのセキュリティ意識ってこんなもんなんですか。

      • by Anonymous Coward

        Appleのセキュリティアップデートはもっと改善すべきだと思ってるけど、
        この件は別にいいんじゃないかなあ。
        この脆弱性つくためには、時計を1970年に戻す必要があるんでしょ。

        そのためには、root権限ないしハードウェアへのアクセスが必要。
        root権限があれば、そもそもこの脆弱性つく必要はないし、
        ハードウェアへアクセス可能なら(暗号化ファイルシステム等使わない限り)
        root権限の奪取は容易。

        というわけで、後回しにする(あるいはそもそもfixしない)っていうのは
        別に悪くない対応だと思う。

        逆に、この件で大騒ぎしている人は、どういう攻撃経路を考えてるの?
        単に騒いでるだけじゃないの?

        • by Anonymous Coward

          素晴らしい意見ですね。
          我々わかっているMacユーザであるからこそ可能な対応だと思います。

          素人が使うAndroidやWindowだとこうはいきません。

        • by Anonymous Coward

          ちょっと探せないですけど、オープンカフェでMacを使って打ち合わせをしている男性二人がいて、通りかかった男が一瞬でそのMacをひったくって逃げていくネットの映像を見た事があります。

          管理アカウントならばroot権限がなくても時計を1970/1/1にすることができる。
          ひったくった犯人がまずやることとしてはこの脆弱性を使ってrootになり、rootと管理アカウントのパスワードを変更する。
          あとは煮るなり焼くなり好きに自由自在。

          ほら、スタバや街角のオープンカフェでドヤリングしてるマカーたちにこそ最優先で修正すべき脆弱性じゃないでしょうかね。

      • by Anonymous Coward

        このセキュリティを放置することで何が危険に晒されるのかを考えると優先度が低くなるのは分かる気がします。

      • by Anonymous Coward

        別に擁護はしてないですよ。あなたは擁護していることにしてApple叩きをしたいだけなのでは?
        他のベンダーがこの脆弱性を残していても、私は同じコメントをしました。

        修正されなくてもよい脆弱性だとは言っていませんし、修正されるにこしたことはないが
        攻撃可能な条件が限られているので優先度が低いだろうと感じたまでです。

      • by Anonymous Coward

        まさに、アンチApple信者の発言ですね。
        セキュリティについてもう少し学びなさい。

    • by Anonymous Coward

      別にいいしっ、家から出ないしっ、部屋も誰も入ってこないし、席も離れないしっ、腹減ったら床ドンするだけだしっ・・・
      マカーの常識って事ですね分かります。

      • by Anonymous Coward

        いつもAdmin(=root)で作業しているWindowsユーザーには分からないんだろうなぁ

        • by Anonymous Coward

          えっ、えっ!ちょっと飲み物吹いちゃったじゃん。
          この件、いつもrootで使わない様にsudoするのがベター!(ドヤッ)っつってた人がターゲットなんでしょ?
          何も気にせず、Administrator Privilegesで使ってる人はそら分からんでしょう。

  • by Anonymous Coward on 2013年09月03日 14時49分 (#2453044)

    Fedoraでは対処したけど、RHELもスルーしてるような

    https://bugzilla.redhat.com/show_bug.cgi?id=916363 [redhat.com]
    https://access.redhat.com/security/cve/CVE-2013-1775 [redhat.com]

  • by Anonymous Coward on 2013年09月03日 14時59分 (#2453052)
    > 時刻を1970年1月1日に設定することで

    この操作にroot権限が必要だったりしません?
    Mac OSはどうなのか知りませんが。
    • by meta (7332) on 2013年09月03日 15時18分 (#2453066) 日記

      リンク先のITmediaの記事に書かれていますが、root権限がなくてもシステムの時刻を変更することができます。

      このため管理者パスワードを入力しなくても、「systemsetup」ユーティリティを使って簡単にOS Xに変更を加えることができてしまうという。

      $ systemsetup -setdate mm:dd:yy
      $ systemsetup -settime hh:mm:ss

      --
      I'm not right, but I'm right.
      親コメント
      • by fcp (32783) on 2013年09月03日 20時03分 (#2453275) ホームページ 日記

        実際の挙動は知らないけれど、 ITmedia の記事には「root 権限がなくてもシステムの時刻を変更することができる」なんて書いてないよ。それに、システム全体に影響のある設定が root 権限なしでできるってのは、さすがにないだろうという気がする。

        このため管理者パスワードを入力しなくても、「systemsetup」ユーティリティを使って簡単にOS Xに変更を加えることができてしまうという。

        そこに書いてあるのは、「システムの日付が 1970 年 1 月 1 日になっていれば、過去に sudo したことのあるユーザーが再度 sudo するのにパスワードを入力する必要がない」というだけ。もちろん、既にシステムの日付が 1970 年 1 月 1 日になっていれば、この挙動を使って、過去に sudo したことのあるユーザーがスクリーンロックしないで離席中に他人がシステムの日付を変えることもできるけれど、それをしてもメリットはないでしょ。

        ところでこれ、「/var/db/sudo/username ディレクトリーが未来の時刻になっていると sudo がパスワードを要求しない」というだけで、 1970 年 1 月 1 日が sudo にとって何か特別な意味を持っているわけじゃないと思うんだけど…。そうだとしたら、これを「the 01 January 1970 bug」と呼ぶのは本質を見逃していると思う。

        親コメント
      • by Anonymous Coward

        管理者権限のないユーザーで実行してみたところ

        $ systemsetup -setdate 01:01:01
        You need administrator access to run this tool... exiting!

        と怒られてしまいましたとさ。
        管理者権限を持ったユーザーでログインしているとき、他人に渡さなければ大丈夫そうです。

    • by Anonymous Coward

      手元で試してみたら、管理者ユーザーなら root権限なしで実行できるみたい。
      非mac (linux)な人に説明すると、「管理者アカウント != rootアカウント(権限)」ってことね。

      • by Anonymous Coward

        別ACだが、
        もう少し言うと、管理ユーザってのは Windows でいうところの Administrator グループに属している扱い。
        ようするに実質的には管理者権限を持っている人。unix 風に言うと、sudo ユーザ

        systemsetup コマンドを使えるユーザーは、そもそもが管理ユーザーに属している(管理権限を持っている)ので、
        パスワードなしで実行でも良いだろ。とか、そういうセンスなんだと思う。
        systemsetup コマンドがパスワードなしで実行できて、日付を変更できて、sudo の脆弱性をつくことが出来る人ってのは、
        脆弱性を突く必要もなく、最初から sudo ユー

        • by Anonymous Coward

          今試してみたら、管理者ユーザーはwheelじゃなくstaffでしたが。
          (Mountain Lion)

  • by Anonymous Coward on 2013年09月03日 15時07分 (#2453057)

    鬼の首を取ったかのようにAppleを責め立てているLinux信奉者がいるようですが、Linuxを運用しているオーナーのうちこの脆弱性を修正しているんでしょうか。

    ・日付が昔になんてなるはずないじゃん。
    ・俺しかいないから関係ないよ。

    などとほとんどのオーナーは、入れ替えていないと思う。

    信奉者にしてみると、オーナー連中は別だっていうんでしょうね。

    あぁ、Linuxベンダー様もスルー [srad.jp]ですか。

    • by Anonymous Coward

      > 鬼の首を取ったかのようにAppleを責め立てているLinux信奉者がいるようですが

      どこに?
      別のコミュニティの話なら別のコミュニティでやったらいいと思うよ。

    • by Anonymous Coward

      > Linuxを運用しているオーナーのうちこの脆弱性を修正しているんでしょうか。

      残念ながら、うちこさんのことは存じ上げません

      • by Anonymous Coward

        うちこさんにはどのような脆弱性が?

        私が相談相手になるので是非詳細を。
        もちろん修正までめんどうみます。

      • by Anonymous Coward

        あなたは日本語者ですか?
        半島の方ですね。

    • by Anonymous Coward

      鬼の首を取ったかのようにAppleを責め立てているLinux信奉者がいるようですが、Linuxを運用しているオーナーのうちこの脆弱性を修正しているんでしょうか。

      ・日付が昔になんてなるはずないじゃん。
      ・俺しかいないから関係ないよ。

      などとほとんどのオーナーは、入れ替えていないと思う。

      マカー(笑)

      大半のLinuxオーナー

      $ sudo -V
      Sudo version 1.8.6p8
      Sudoers policy plugin version 1.8.6p8
      Sudoers file grammar version 42
      Sudoers I/O plugin version 1.8.6p8

      そして一体何時アップデートされたのかとChangeLog見て
      *sudo-1.8.6_

      • by Anonymous Coward
      • by Anonymous Coward

        アップデートがリリースされたけど、そのアップデートを自分が管理してるマシンにちゃんと適用してる人はそう多くはないってことじゃないか?
        アップデートしても問題が起きないか確認せず、いつでも好きな時にさっさとアップデートする人はいいだろうけど、あなたのように。

  • by Anonymous Coward on 2013年09月03日 15時48分 (#2453088)

    sudo -i

  • by Anonymous Coward on 2013年09月03日 17時46分 (#2453164)

    ここの人はOSXの何が憎くてそんなに好戦的なんだ?
    俺からみりゃよくあるUNIXマシンでしかないが、何がそんなにだめなん?

    • by Anonymous Coward

      このストーリーを見る限りだとセキュリティが駄目。

    • by Anonymous Coward

      普段の行いが悪いからだろw

    • by Anonymous Coward

      OSが何かについては関係無いでしょう。
      そこを勘違いして勝手に代理被害者な気持ちになる人が居る、ただそれだけの事。

      先日はWindowsで似たような話になっていた訳で、このサイトはそういう場所だからとしか説明出来ないですね。

      http://srad.jp/story/13/08/22/0944226/Windows-8%E3%81%AFCPU%E3%82%AF%E... [srad.jp]

      このトピックを見る事によって、多くの人が問題点に気付いて、自分で対処する事が出来るんだから、それで良しとしましょう。
      まだ直すとも、直さないとも、優先順位が高いとも、低いとも言ってな

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...