High Sierraの「I am root」問題はsuコマンドでも可能だったことが判明。

スポンサーリンク

 High Sierraの「I am root」問題はsuコマンドでも可能だったそうです。詳細は以下から。

ターミナルのアイコン。

 現地時間2017年11月28日午後、トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートによって広まった脆弱性”CVE-2017-13872″は、ユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるというmacOSの根幹を揺るがすもので、セキュリティ関係者の間ではガーディアンズ・オブ・ギャラクシーのGrootの台詞「I am Groot」をもじり”#iamroot“問題として広まりましたが、

Appleが本日公開した「Security Update 2017-001」でこの脆弱性が修正されたのを受け、この不具合を既に把握していたセキュリティ関係者が情報を公開(Full disclosure)しており、それによるとこの脆弱性はコマンドラインでも実行可能だったそうです。

スポンサーリンク

Demo

 Security Update 2017-001を適用する前のmacOS 10.13.1 Build 17B48で実際に試してみましたが、rootアカウントが無効でパスワードが設定されていない状態では以下の通りパスワード入力時に[上矢印キー]を押した後、[Enter]キーを押すことでパスワード無しにrootに昇格することが出来ました。

i am root with su

 Appleはこの「I am root」問題を重く受け止めMacユーザに謝罪し、今後開発プロセスを監査するという声明を出していますが、High Sierraユーザの方は仕事に入る前にまずは「Security Update 2017-001」を適用しておいて下さい。

macOS 10.13.1 High Sierra Supplemental

コメント

  1. 匿名 より:

    これを機にラピッドリリースをやめてほしい

  2. 匿名 より:

    社内では便利に利用していたのかな

  3. 匿名 より:

    ここ数年つまらないアップデートばかりでバグしか生み出してないからそろそろ落ち着けよ