JPCERTコーディネーションセンター(JPCERT/CC)は10月16日、CyberNewsFlashにおいて、sudoコマンドの脆弱性が公開されたと伝えた。

脆弱性の影響を受けるバージョンは、sudo 1.8.28 より前のバージョン。この脆弱性は、sudo 1.8.28で修正されている。

この脆弱性は、sudoコマンド実行時に引数指定で渡せるユーザーIDの検証が 十分ではないことに起因するもの。悪用されると、sudoersでrootで実行不可として権限を設定 しているにもかかわらず、root権限でコマンドが実行できてしまうおそれがある。

この脆弱性を悪用するには、sudoers において ALL キーワードにより他のユーザとして コマンドが実行できる権限が、sudo を実行するユーザーに与えられている必要がある。

JPCERT/CCは、対象となるバージョンを使用するユーザーは、各Linuxディストリビュータの情報などを参考に バージョンアップなどの対応を検討するようアドバイスしている。