APFS暗号化パスワードが平文のままログに保存されてしまうバグはmacOS 10.13.4で修正されるも、install.logに保存されたパスワードはmacOS 10.14まで保存される可能性。

　APFS暗号化ボリュームの作成に使用したパスワードが平文のままログに保存されてしまうバグはmacOS 10.13.4で修正されましたが、install.logに保存されたパスワードはmacOS 10.14まで保存される可能性があるので注意してください。詳細は以下から。

　Appleが2017年09月にリリースした「macOS 10.13 High Sierra」にはディスクユーティリティに複数の不具合があり、昨年10月には「APFS暗号化ディスクを作る際に設定したパスワードが、パスワードのヒントして平文のまま表示される」不具合が確認されAppleが追加アップデートをリリースし、

昨月には「ディスクユーティリティでAPFS暗号化ボリュームを作成すると、利用したパスワードを平分のままログに保存してしまう」不具合が発見され、Appleはこの不具合を現地時間2018年03月29日にリリースした「macOS 10.13.4」で、この不具合の原因となっていた脆弱性2件を修正しましたが、この不具合に関する問題はまだ終わっていなかったようです。

APFS/Disk Management

• Available for: macOS High Sierra 10.13.3
• Impact: An APFS volume password may be unexpectedly truncated
• Description: An injection issue was addressed through improved input validation.
• CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
• CVE-2018-4108: Kamatham Chaitanya of ShiftLeft Inc., an anonymous researcher

About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan – Apple Support

install.log

　この不具合を報告したアメリカのセキュリティアナリストSarah Edwardsさんによると、APFS暗号化用のパスワードが平文のまま保存されるログは統合ログと考えられており、保存されていてもシステムのアップデートとともにクリアされると思われていましたが、その後“install.log”にも保存されていることが確認され、

The previous examples were found in the unified logs which can hang around for a few weeks, this new example stores the exact same information in the system’s /var/log/install.log. I have found that the install.log will only get wiped out upon major re-installation (ie: 10.11 -> 10.12 -> 10.13), therefore these plaintext passwords will hang around for quite a bit longer than a few weeks! I had entries dating back to when I originally installed High Sierra on this system back in November of 2017!

OMG, Seriously? – APFS Encrypted Plaintext Password found in ANOTHER (More Persistent!) macOS Log File — mac4n6.com

悪いことに、この”install.log”はmacOSがインストールされてからメジャー・アップグレード(例：macOS 10.12.x → macOS 10.13.x)されるまでのログを保存しているため、macOS 10.13(.0) ~ 10.13.3でAPFS暗号化ボリュームを作成した方は次期macOSのメジャーアップグレードとなるmacOS 10.14までパスワードが”install.log”に保存されることになるようで、

確認したところ、macOS 10.13.4 アップデートではAppleはこのログに記録されている平文のパスワードについて何も対処していないなかったようで、以上の動画の通りmacOS 10.13.3で作成したAPFS暗号化ボリュームに利用したパスワードが、macOS 10.13.4の”install.log”(パーミッションも644)にも記載されていました。

ls -al /private/var/log/install.log
-rw-r--r--@ 1 root  wheel  4034203 Apr  1 09:27 /private/var/log/install.log

　上に書いた「APFS暗号化ディスクを作る際に設定したパスワードが、パスワードのヒントして平文のまま表示される」不具合が追加アップデートで修正されたさい、Appleはサポートドキュメント「macOS High Sierra で暗号化した APFS ボリュームのパスワードヒントではなくパスワードが表示される場合」を公開し、ユーザーに対し追加のセキュリティ対策を行うように指示していましたが、

現在のところ今回の不具合に対しエンタープライズ向け含め、そのようなサポートドキュメントなどは公開されていないようなので、システム管理者の方はTime Machine内のログ含め”install.log”をチェックしてみて下さい。

おまけ

　また、Sarahさん含め何人かの方がここ数日の間にmacOS 10.13.3でも上記の不具合を再現できなくなったとコメントしているそうなので、Appleがここ数日の間にサイレントアップデートを行った可能性もあります。

I finally got some time this afternoon to re-test. As it turns out, I was unable to re-create my results from 03/24. I assumed that at some point in the past few days a silent security update was pushed out. I went to my install.log file to investigate further.

OMG, Seriously? – APFS Encrypted Plaintext Password found in ANOTHER (More Persistent!) macOS Log File — mac4n6.com

• About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan – Apple Support
• OMG, Seriously? – APFS Encrypted Plaintext Password found in ANOTHER (More Persistent!) macOS Log File — mac4n6.com