Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Sudoコマンド」に権限昇格の脆弱性 - 修正プログラムは未提供

NTTデータ・セキュリティは、別のユーザー権限でコマンドを実行する「Sudoコマンド」に見つかった脆弱性について検証レポートを公開し、注意を呼びかけている。

問題の脆弱性は、不正に権限の昇格が行われるもので、「Sudo」の「1.6.9p18」以前に含まれる。「setenv」を設定し、さらに一般ユーザーへ「Sudo」による管理者権限でのコマンド実行を許可している場合に影響があり、一般ユーザーに管理者権限を奪ばわれるおそれがある。

11月18日の時点で修正プログラムは用意されておらず、同社では、同コマンドを利用する必要がない場合は無効にし、修正プログラムがリリースされた場合は速やかにアップデートをするよう呼びかけている。

NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/

(Security NEXT - 2008/11/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

スマートフォンを利用して「どこでも本人確認」
インシデントでCISOをクビにすることは悪手 - イスラエル国家サイバー局ディレクター
JNSA、情報セキュリティ向上への貢献で2名を表彰 - 「セキュ狼」開発のWGも
ラック、EDR向けMSSを展開 - 手はじめに「Windows ATP」
残保存年限20年の行政文書が所在不明に - 千葉県
意見書提出者の個人情報をサイトに誤掲載 - 吹田市
CMS利用のサイトが改ざん被害、外部サイトへ誘導- 医療専門学校
登山情報サイトに不正アクセス - 会員へのフィッシングメールから判明
人材育成でNEC、日立、富士通が共同プロジェクト - 人材モデルの定義からサイバーレンジ活用まで
民間でも活用できるネットワークカメラのセキュリティ要件チェックリスト