macOS High Sierraのroot脆弱性CVE-2017-13872、通称「I am root」問題まとめ。

スポンサーリンク

 macOS High Sierraのroot脆弱性CVE-2017-13872、通称「I am root」問題のまとめです。詳細は以下から。

macOSのGuestユーザーのアイコン

 現地時間2017年11月28日、トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートによって広まった脆弱性”CVE-2017-13872″は、ユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるというmacOSの根幹を揺るがすもので、Appleは問題が報道されてから24時間以内に複数の声明やセキュリティアップデートを提供したので、その経過を以下にまとめました。

macOS 10.13 High Sierraでroot名を利用するだけでシステム管理者になれる脆弱性

 以下のテーブルの日時の「日付」はあっていると思いますが、時刻までは正確ではないので日付だけを参考にして下さい。また、赤字はAppleの公式声明/リリースで「I am root (#iamroot)」というのはroot脆弱性”CVE-2017-13872″の通称で、セキュリティ関係者らがガーディアンズ・オブ・ギャラクシーのキャラクターGrootの台詞「I am Groot」をもじって付けたようです。

日時 出来事 リンク
2017年11月13日(月)
午後12時48分ごろ
ユーザーID”chethan177″さんがApple Developer Forumに、ユーザ名「root」でパスワードを空にし[Return]キーを2回入力すれば管理者アカウントになれるという情報を書き込む。 Link
2017年11月21日(火)
午前04時10分ごろ
Jeremy Miller(@jeremydmiller78)‏さんがTwitterでこの脆弱性を公開するも、あまり広まらず。 Twitter
2017年11月28日(火)
午前
トルコのエンジニアLemi Orhan Erginさんが「I am root」問題をTwitterに投稿し表面化。 Twitter
同日 MacRumrosやiMore, TechCrunchなどが報道。

Link
同日
午後
Appleのセキュリティエンジニアがこの問題を認識しアップデートに着手。 Link
同日 Appleがこの不具合に対しソフトウェアアップデートを準備していると発表し、rootユーザに関するサポートサイトに従いパスワードを設定するように指示。 Link
Support
Twitter
同日 JPCERT/CC : macOS High Sierra の設定に関する注意喚起。 JPCERT/CC
同日 US-CERT/CCのWill Dormannさんがこの脆弱性は画面共有やVNC, リモートデスクトップでも有効だとツイート。 Link
Twitter
2017年11月29日(水) US-CERT/CC : Vulnerability Note VU#113765 “Apple MacOS High Sierra disabled account authentication bypass”を公開。 US-CERT/CC
Twitter
同日 US-CERT/NIST : CVE-2017-13872を公開。 US-CERT/NIST
同日午前8時 Appleが「Security Update 2017-001」をリリースし、今回の騒動を謝罪。 Link
Link
Apple
同日 Security Update 2017-001適用後のmacOS 10.13.1 Build 17B1002でSMBファイル共有に不具合があり、Appleがサポートドキュメントを公開。 Link
Apple
同日 Mac App StoreでmacOS 10.13.1 Build 17B1002をリリース。 Apple
2017年11月30日(木) SMBファイル共有の不具合を修正したSecurity Update 2017-001(macOS 10.13.1 Build 17B1003)がリリース。 Link
同日 AppleがmacOS v10.13 Build 17A405向けに「Security Update 2017-001」を公開。 Link
Apple
同日 Appleが「Security Update 2017-001」についてのサポートドキュメントを更新し”opendirectoryd”のプロジェクトバージョン・ナンバーをチェックするように求める。 Link
Apple
Gist
同日 macOS High Sierra 10.13.2 beta 5 (17C83a)をテストしている開発者らが、Build 17C83aにはまだこの脆弱性が残っているとしてアップデートを求める。 Link
2017年12月01日(金) Appleが開発者向けに今回の脆弱性を修正した「macOS High Sierra 10.13.2 beta 6 Build 17C85a」をリリース。 Link
同日 米WIREDやセキュリティ関係者らが、I am root問題を修正したmacOS v10.13.0をv10.13.1へアップデートすると脆弱性が再び利用できるようになることを確認し警告。 Link
2017年12月02日(土) Appleがサポートページを更新し、macOS v10.13.0からv10.13.1へアップデートした際はMacを再起動するか、MRT v1.27がインストールされているかの確認を求める。 Link
Gist
2017年11月29日(水) Objective-SeeのPatritckさんが今回の脆弱性の全容を公開。”od_verify_crypt_password”がNon-Zero値を返した時以外はエラーチェックが行われなかったのが原因のもよう。 Link
–続く?–
誤字や間違いがありましたらコメント欄で指摘していただけると幸いです。

コメント

  1. 匿名 より:

    11月のことなのに12月になってますよ

    • applech2 より:

      ご指摘ありがとうございます。
      返信が遅れましたが、該当箇所修正しました。

  2. 匿名 より:

    こういうのはベータ版をインストールしてるユーザーが事前に見つけて指摘すれば起こらない
    Appleを叩いてる人が居るがベータ版でテストに参加してるユーザーの怠慢も大きい

    • 匿名 より:

      パブリックベータなんてジョブズ時代には無かったぞ?
      それでもこんなにお粗末なOSは作らなかった

      ユーザではなく、クック体制になってからのラピッドリリースに問題があるのは明らか

    • 匿名 より:

      金払ってるわけでもないBeta Program参加者に、隅から隅まで全部チェックしろって方がおかしい。
      自分達で入念なチェックをしないAppleの怠慢。

  3. 匿名 より:

    こうして見るとアップルはこの問題を半日足らずで解決してるんだな……

  4. 匿名 より:

    Appleの対応の速さは素晴らしいですね
    コレがMSだと1ヶ月掛かる

  5. 匿名 より:

    続く?
    でちょっと苦笑してしまった。
    開発プロセス見直さないと永久に続くだろうなあ

  6. 匿名 より:

    流石アップルさん。
    初歩的なバグを速攻で治せました。