• Twitterでシェア
  • Facebookでシェア

Engadget | Technology News & Reviews

テクノロジー カテゴリーの変更を依頼 記事元:www.engadget.com
適切な情報に変更
325users がブックマーク コメント 57
    共有

    • 記事へのコメント57

    • 注目コメント
    • 新着コメント
    その他
    megamouth
    えっ / https://www.sudo.ws/alerts/minus_1_uid.html / sudo -u#-1 でなんでも仕放題とかそういう単純な話ではないので、おちついてください

    その他
    homarara
    マジかよ須藤最低だな。

    その他
    masakih
    この「の」は限定の「の」です?

    その他
    migrant777
    なんでこんな単純な境界値条件のバグが今更出てくるんだよ・・・。/(ALL,!root) のとき「#-1はrootではない」けど「#-1でrootが呼び出せる」から制限回避できちゃうのか。致命的だけど影響は限定的だな。

    その他
    uunfo
    sudoersでの制限を無効化できてしまうということか。sudoできないユーザーは対象外。https://www.sudo.ws/alerts/minus_1_uid.html

    その他
    rryu
    sudoersで「root以外になれる」みたいな制限を付けていてもrootになれるという脆弱性らしい。

    その他
    qtamaki
    uidを任意に設定するのにrootが必要だから、すぐさま危険って訳では無さそうだけど、何かと組み合わせると強力な技が発動しそう

    その他
    mkusunok
    シンプルかつ致命的過ぎるバグに愕然

    その他
    zu2
    “sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります”

    その他
    augsUK
    こんな影響があって単純なバグがなぜに今まで放置だったのか

    その他
    jsstudy
    Potential bypass of Runas user restrictions https://www.sudo.ws/alerts/minus_1_uid.html ブコメにあったページをGoogle翻訳したら「About Sudo」が「須藤について」と翻訳されていた。それはともかくsudoのキャラクター(サンドイッチ)が気になるw

    その他
    ShionAmasato
    この記事開こうとしたらタグが勝手に閉じたのなんだ…

    その他
    wushi
    不安を煽っててよくない。(ALL) が入っている時点でrootにもなれるので、意図しない権限昇格になるのは (ALL,!root) が指定されている時くらいだと本家も書いてる。ただまあ実際に動くのを見るとぎょっとするバグではある

    その他
    hateshinaiz
    これパッチ当てる前にsudoersを書き換えられたらいろいろまずいってことやな。だからrootは平時使用禁止令ってこと。

    その他
    anoncom
    sudoはroot権限使うために一時昇格コマンドだしrootになれて当然だろうとかそういう当たり前な話じゃなかった。

    その他
    deep_one
    「sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの」

    その他
    Haaaa_N
    任意コード実行されてる時点でroot権限とか割とどうでも良いと言えばどうでも良い

    その他
    richard_raw
    テストしてなかったんですかね。/doasというコマンドがあるそうな。

    その他
    takeishi
    よくこんなのが長年判明しなかったな

    その他
    kaputte
    ユーザーIDに-1は今後流行る(流行らない

    その他
    koji28
    sudoersのユーザ情報書くところで(as_whom)にALL指定してる時のみみたいだね。誰として実行しても良い、という指定だから、ある程度サーバ管理者側のユーザになるのかな(´・ω・`)

    その他
    ANNotunzdY
    UINT_MAX

    その他
    twodec
    時代はdoas

    その他
    daybeforeyesterday
    うーむ

    その他
    rakuteen
    なんやて須藤!

    その他
    hagane
    ちゃんと運用しているところには致命的な脆弱性、適当というか大多数というか、rootになるためだけに使ってるところにはあんまり関係の無い脆弱性という感じに見える。

    その他
    slash_01
    2年前も権限昇格の脆弱性あったな。 https://www.atmarkit.co.jp/ait/spv/1706/29/news029.html

    その他
    airj12
    よく今まで隠れていたな

    その他
    stp7
    sudoはsubstitute user doの略。

    その他
    nobububu
    いまさら

    その他
    onesplat
    (ALL,!root) みたいな指定してる場合のみaffectedらしい。まぁそこまで影響が広くはないだろう

    その他
    yoshis1210
    とりあえず!rootの設定が無ければ影響ないっぽいしほとんどのサーバで影響ないでしょ。

    その他
    ghostbass
    phpmyadminに任意のsqlを実行できる脆弱性、とかと同類か

    その他
    okamotoy
     境界条件!!

    その他
    mkusunok
    mkusunok シンプルかつ致命的過ぎるバグに愕然

    2019/10/15 リンク

    その他
    sotokichi
    怖い。

    その他
    issyurn
    オーバーフロー

    その他
    elwoodblues
    おちついてください、とのコメントもあるけど、とりあえずアップデートしとこ

    その他
    naglfar
    すぐどうこうなるものではないけどドキッとした。

    その他
    tackman
    はい????

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Engadget | Technology News & Reviews

    The sustainable tiny home trend at CES 2025 revived my dream of building a compoundAmid the chaos...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.