macOS High Sierraのroot脆弱性CVE-2017-13872、通称「I am root」問題のまとめです。詳細は以下から。
現地時間2017年11月28日、トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートによって広まった脆弱性”CVE-2017-13872″は、ユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるというmacOSの根幹を揺るがすもので、Appleは問題が報道されてから24時間以内に複数の声明やセキュリティアップデートを提供したので、その経過を以下にまとめました。
以下のテーブルの日時の「日付」はあっていると思いますが、時刻までは正確ではないので日付だけを参考にして下さい。また、赤字はAppleの公式声明/リリースで「I am root (#iamroot)」というのはroot脆弱性”CVE-2017-13872″の通称で、セキュリティ関係者らがガーディアンズ・オブ・ギャラクシーのキャラクターGrootの台詞「I am Groot」をもじって付けたようです。
| 日時 | 出来事 | リンク |
|---|---|---|
| 2017年11月13日(月) 午後12時48分ごろ |
ユーザーID”chethan177″さんがApple Developer Forumに、ユーザ名「root」でパスワードを空にし[Return]キーを2回入力すれば管理者アカウントになれるという情報を書き込む。 | Link |
| 2017年11月21日(火) 午前04時10分ごろ |
Jeremy Miller(@jeremydmiller78)さんがTwitterでこの脆弱性を公開するも、あまり広まらず。 | |
| 2017年11月28日(火) 午前 |
トルコのエンジニアLemi Orhan Erginさんが「I am root」問題をTwitterに投稿し表面化。 | |
| 同日 | MacRumrosやiMore, TechCrunchなどが報道。 | Link |
| 同日 午後 |
Appleのセキュリティエンジニアがこの問題を認識しアップデートに着手。 | Link |
| 同日 | Appleがこの不具合に対しソフトウェアアップデートを準備していると発表し、rootユーザに関するサポートサイトに従いパスワードを設定するように指示。 | Link Support |
| 同日 | JPCERT/CC : macOS High Sierra の設定に関する注意喚起。 | JPCERT/CC |
| 同日 | US-CERT/CCのWill Dormannさんがこの脆弱性は画面共有やVNC, リモートデスクトップでも有効だとツイート。 | Link |
| 2017年11月29日(水) | US-CERT/CC : Vulnerability Note VU#113765 “Apple MacOS High Sierra disabled account authentication bypass”を公開。 | US-CERT/CC |
| 同日 | US-CERT/NIST : CVE-2017-13872を公開。 | US-CERT/NIST |
| 同日午前8時 | Appleが「Security Update 2017-001」をリリースし、今回の騒動を謝罪。 | Link Link Apple |
| 同日 | Security Update 2017-001適用後のmacOS 10.13.1 Build 17B1002でSMBファイル共有に不具合があり、Appleがサポートドキュメントを公開。 | Link Apple |
| 同日 | Mac App StoreでmacOS 10.13.1 Build 17B1002をリリース。 | Apple |
| 2017年11月30日(木) | SMBファイル共有の不具合を修正したSecurity Update 2017-001(macOS 10.13.1 Build 17B1003)がリリース。 | Link |
| 同日 | AppleがmacOS v10.13 Build 17A405向けに「Security Update 2017-001」を公開。 | Link Apple |
| 同日 | Appleが「Security Update 2017-001」についてのサポートドキュメントを更新し”opendirectoryd”のプロジェクトバージョン・ナンバーをチェックするように求める。 | Link Apple Gist |
| 同日 | macOS High Sierra 10.13.2 beta 5 (17C83a)をテストしている開発者らが、Build 17C83aにはまだこの脆弱性が残っているとしてアップデートを求める。 | Link |
| 2017年12月01日(金) | Appleが開発者向けに今回の脆弱性を修正した「macOS High Sierra 10.13.2 beta 6 Build 17C85a」をリリース。 | Link |
| 同日 | 米WIREDやセキュリティ関係者らが、I am root問題を修正したmacOS v10.13.0をv10.13.1へアップデートすると脆弱性が再び利用できるようになることを確認し警告。 | Link |
| 2017年12月02日(土) | Appleがサポートページを更新し、macOS v10.13.0からv10.13.1へアップデートした際はMacを再起動するか、MRT v1.27がインストールされているかの確認を求める。 | Link Gist |
| 2017年11月29日(水) | Objective-SeeのPatritckさんが今回の脆弱性の全容を公開。”od_verify_crypt_password”がNon-Zero値を返した時以外はエラーチェックが行われなかったのが原因のもよう。 | Link |
| — | –続く?– | — |
誤字や間違いがありましたらコメント欄で指摘していただけると幸いです。
コメント
11月のことなのに12月になってますよ
ご指摘ありがとうございます。
返信が遅れましたが、該当箇所修正しました。
こういうのはベータ版をインストールしてるユーザーが事前に見つけて指摘すれば起こらない
Appleを叩いてる人が居るがベータ版でテストに参加してるユーザーの怠慢も大きい
パブリックベータなんてジョブズ時代には無かったぞ?
それでもこんなにお粗末なOSは作らなかった
ユーザではなく、クック体制になってからのラピッドリリースに問題があるのは明らか
フェデリギな
金払ってるわけでもないBeta Program参加者に、隅から隅まで全部チェックしろって方がおかしい。
自分達で入念なチェックをしないAppleの怠慢。
こうして見るとアップルはこの問題を半日足らずで解決してるんだな……
Appleの対応の速さは素晴らしいですね
コレがMSだと1ヶ月掛かる
続く?
でちょっと苦笑してしまった。
開発プロセス見直さないと永久に続くだろうなあ
流石アップルさん。
初歩的なバグを速攻で治せました。