グローバルナビゲーションへ

本文へ

ローカルナビゲーションへ

フッターへ



図書館・病院・付属施設の新着情報

ホーム 図書館・病院・付属施設の新着情報 sudoの脆弱性(CVE-2021-3156)に関する注意喚起(1月27日)

sudoの脆弱性(CVE-2021-3156)に関する注意喚起(1月27日)


2021年1月27日

sudoにおけるヒープベースのバッファオーバーフローの脆弱性(CVE-2021-3156)に関する情報が公開されました。sudoersファイル(通常は/etc/sudoers配下)が存在する場合に、脆弱性を悪用することにより、ローカルユーザがrootに権限昇格する可能性があります。今後、脆弱性を悪用する実証コードなどが公開され、攻撃の中で権限昇格に悪用される可能性もあるため、影響を受けるシステムを利用している場合は、早急に対策を実施して下さい。

【対象】
対象となる製品とバージョンは次のとおりです。
なお、各ディストリビューション における対象バージョンは、ディストリビュータの情報を参照ください。
  • sudo バージョン 1.8.2 から 1.8.31p2
  • sudo バージョン 1.9.0 から 1.9.5p1

なお、本脆弱性を発見したQualys社は、"sudoedit -s /"コマンドを実行し、 "sudoedit:"から始まるエラーが表示されると脆弱性の影響を受け、"usage:" から始まるエラーが表示されると影響を受けない、という情報を公開していま す。

【対策】
各ディストリビュータより、本脆弱性を修正したバージョンが公開されていま す。各ディストリビュータの情報などを参考にバージョンアップなどの対応 を検討してください。

詳細については、JPCERTのサイトをご確認ください。
JPCERT