sudoにパスワード不要で特権昇格が可能な脆弱性が見つかる

sudoにヒープバッファオーバーフローの脆弱性が存在することが明らかになった。攻撃者はユーザーのパスワードを知らなくても特権昇格できるとされる。sudoはmacOSやLinux、UNIX系OSでプリインストールされるコマンドとして広く利用されており、影響範囲が大きい。

» 2021年01月28日 15時34分 公開
[後藤大地有限会社オングス]

 sudoコマンドの開発者は2021年1月26日(現地時間)、sudoコマンドに深刻なヒープベースのバッファオーバーフローの脆弱(ぜいじゃく)性(CVE-2021-3156)が存在すると伝えた。

 この脆弱性を利用すると、設定ファイル「sudoers」に設定がない一般ユーザーであっても認証を経ずに特権ユーザーに昇格できるとされる。攻撃者がシステム侵入後に特権昇格をする際に悪用される可能性もある。

Buffer overflow in command line unescaping Buffer overflow in command line unescaping

 sudoの開発者によれば、今のところこの脆弱性を回避する方法はない。脆弱性が修正されたバージョン、または提供ベンダーが対処を施したバージョンを使用することが推奨される。

脆弱性が指摘されたバージョンと影響範囲は

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ