Azure Linux VMでのsudo脆弱性対応（CVE-2019-14287） - LinuxユーザーがイジるはじめてのAzure

なんだかsudoに脆弱性が発覚し騒がれつつありますね。

それもそのはず、CVSSのスコアが「7.0」と警告レベルを超えて

重要だぜ、というスコアになっているのと、一部分だけを読むと

rootユーザー権限が乗っ取られる、と解釈できる部分があるから

でしょうね。

参考：https://access.redhat.com/security/cve/cve-2019-14287

いや、そもそもCVSSってなんぞ？スコアって？という方は

以下を参考に。

https://www.ipa.go.jp/security/vuln/CVSS.html

まぁいわゆる脆弱性レベルって一概にいっても様々な軸と捉え方が

あるわけで、そこを包括的にオープンな情報として各機関が軸や

考え方をまとめたスコアですよ、ということ。つまりこのスコアを

本人や企業ががどう扱おうと自由なわけですが、エンジニアとしては

今やるべきなの？後回しでもいいの？スルーしていい？というモノサシ

がほしいですよね。

そういう意味では今回のは重要レベルのスコアなので踊らされてしまう

のも無理はないですが、ちゃんと中身を読むとsudoをuser毎に厳密に

権限管理されている場合、root権限を与えていないuserでもroot権限で

実行できてしまうセキュリティホールが見つかったよ、というもの。

言い方を変えるとsudo = root　という扱いでしか利用されていない

Linux環境であれば何の問題もないわけです。具体的にはこんな感じ。

通常利用

$ sudo -u#${uid} command

　⇒　uidを使ってcommandを実行

問題となった利用方法

$sudo -u#-1 command

もしくは

$sudo -u#4294967295 command

　⇒　-1も4294967295も存在しないuidだが、バグで0と解釈されて

　　　しまい、かつ存在しないuidのためパスワードデータベース

　　　への参照もされずPAMも制御外となる、そしてuid=0はroot

　　　のuidのためroot実行されちゃう、というｗ

で、じゃあどうすんだよ、という話に移る。

今回問題があるsudoのバージョンは1.8.28より前のバージョンが該当

するとのこと。

参考：https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14287

で、Azure VM(やっとここでAzureな話ｗ）のRhelやCentOSのyum upgrade

/update で対応できるかなー、っと思ったけどまだrepositoryに展開されて

いない模様。

# yum list sudo
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* epel: ftp.riken.jp
Installed Packages
sudo.x86_64 1.8.23-4.el7 @base
#

　※あ、epel-releaseもインストール済でつ。

ということでsudo本家の以下サイトから1.8.28をtar.gzでダウンロードしま

しょ。

https://www.sudo.ws/stable.html

ソースからの展開なのでパッケージ展開と比べてダルいですがコンパイラが

必要なのでgccあたりはあらかじめyum installしておいてください。

tar.gzを展開するとこんな感じ。

f:id:akazure:20191017132019j:plain