Sudo
に存在するバッファオーバーフローの脆弱性 CVE-2019-18634 への対応として、マシンの/etc/sudoers
ファイルを確認しています。 Sudo.ws Webサイトの bulletin では、次の緩和策を推奨しています。
Sudoersファイルで
pwfeedback
が有効になっている場合、感嘆符を前に付加して無効にすることで、バグの悪用を防ぐことができます。たとえば、次のように変更します。
Defaults pwfeedback
に:
Defaults !pwfeedback
ただし、sudoersファイルを確認すると、私が確認した構成は暗黙の拒否であると私が推測しているものであり、pwfeedback
についてまったく言及されていないため、好奇心を掻き立てられました。
これまでに試したこと:
推奨緩和策に従ってsudoersファイルにDefaults !pwfeedback
を追加することによりSudo
が明示的に拒否された場合、および何も追加されていない場合のpwfeedback
の動作をテストしました。予想通り、行動に違いはありません。これは、(この場合)明示的に許可されていないものは暗黙的に拒否されたものとして扱われるという私の信念を裏付けているようです。
私の質問:両方の解決策が問題を解決しているようです。sudoersファイルからDefaults pwfeedback
を削除すると、それ自体で機能するはずです。
Sudoersファイルでデフォルトを明示的に無効にすることは、それをまったくリストしないことと同じですか?
どちらの解決策も問題を解決しているようで、sudoersファイルからDefaults pwfeedbackを削除するだけでうまくいくと思います。
sudoers(5) のマニュアルページにあるように、pwfeedbackの暗黙のデフォルトはオフであるため、正しいです。
pwfeedback' By default, Sudo reads the password like most other Unix programs,
by turning off echo until the user hits the return (or enter) key. Some users
become confused by this as it appears to them that Sudo has hung at this point.
When pwfeedback is set, Sudo will provide visual feedback when the user presses
a key. Note that this does have a security impact as an onlooker may be able to
determine the length of the password being entered. This flag is off by default.
ただし、CVE-2019-18634のようなアクティブな脆弱性がある場合、軽減アドバイスはexplicitlyいくつかの理由で無効にします: