ytooyamaのブログ

サーバ構築とか、仕事で発見したこととか、趣味のこととかを書いています。

OS Xにおけるsudoのぜい弱性放置の件

こことかここの件ですが、該当するユーザーでログインした後、

$ sudo -K
(ユーザの保存された認証情報を完全に消去)

を実施することで、一時的な認証情報(下記説明にある/var/db/sudo/の下のユーザーディレクトリ)を削除できるようです。当然、再度sudoコマンドを実行すると一時的な認証情報が再度保管されてしまうので、この問題の回避策としてはOS Xのsudoがぜい弱性対応版に置き換わるまでsudoを利用しないくらいしか回避出来ない模様です。

【おまけ?】
問題が解決するまでなんとなくsudoを使いたくない人は、ユーザーディレクトリの中の.bash_profileファイルに

alias sudo="echo '!!caution!! see CVE-2013-1775 Page!'"

とか書いたあと、"source .bash_profile"を実行してコマンドを上書きすると、sudoを実行しようとすると、

$ sudo ifconfig
!!caution!! see CVE-2013-1775 Page! ifconfig
(sudoの後のifconfigコマンドは実行されない)
$ sudo
!!caution!! see CVE-2013-1775 Page!
(単体で実行した場合echoの後の文が出てくるだけ)

こんな感じになってsudoを使ったコマンドが効かなくなります...が、はっきりいて意味あるのかどうかはw

【参考】

ちなみに、aliasをはった場合、元の状態に戻す時は.bash_profileから追加した記述を削除してsource .bash_profileコマンドを実行した後、ログアウト→ログインしてください。

【追記】
上記で書いたおまけはバックスラッシュ付きでsudoコマンドを実行されるとaliasに記述した小細工は無効になり、sudoコマンドが実行できてしまうのであまり意味はありません(→参考)。あくまでユーザーが使おうとした時にメッセージが出るだけのつもりでどうぞ。