web-dev-qa-db-ja.com

sudoersファイルでデフォルトを明示的に無効にすることは、デフォルトをまったく表示しないことと同じですか?

Sudoに存在するバッファオーバーフローの脆弱性 CVE-2019-18634 への対応として、マシンの/etc/sudoersファイルを確認しています。 Sudo.ws Webサイトの bulletin では、次の緩和策を推奨しています。

Sudoersファイルでpwfeedbackが有効になっている場合、感嘆符を前に付加して無効にすることで、バグの悪用を防ぐことができます。たとえば、次のように変更します。

Defaults pwfeedback

に:

Defaults !pwfeedback

ただし、sudoersファイルを確認すると、私が確認した構成は暗黙の拒否であると私が推測しているものであり、pwfeedbackについてまったく言及されていないため、好奇心を掻き立てられました。

これまでに試したこと:

推奨緩和策に従ってsudoersファイルにDefaults !pwfeedbackを追加することによりSudoが明示的に拒否された場合、および何も追加されていない場合のpwfeedbackの動作をテストしました。予想通り、行動に違いはありません。これは、(この場合)明示的に許可されていないものは暗黙的に拒否されたものとして扱われるという私の信念を裏付けているようです。

私の質問:両方の解決策が問題を解決しているようです。sudoersファイルからDefaults pwfeedbackを削除すると、それ自体で機能するはずです。

Sudoersファイルでデフォルトを明示的に無効にすることは、それをまったくリストしないことと同じですか?

6
Joshua Murphy

どちらの解決策も問題を解決しているようで、sudoersファイルからDefaults pwfeedbackを削除するだけでうまくいくと思います。

sudoers(5) のマニュアルページにあるように、pwfeedbackの暗黙のデフォルトはオフであるため、正しいです。

pwfeedback' By default, Sudo reads the password like most other Unix programs,
by turning off echo until the user hits the return (or enter) key. Some users
become confused by this as it appears to them that Sudo has hung at this point.
When pwfeedback is set, Sudo will provide visual feedback when the user presses
a key. Note that this does have a security impact as an onlooker may be able to
determine the length of the password being entered. This flag is off by default.

ただし、CVE-2019-18634のようなアクティブな脆弱性がある場合、軽減アドバイスはexplicitlyいくつかの理由で無効にします:

  1. 明示的な無効化は、暗黙的なデフォルトの無効化より監査が容易です。
  2. 特定のパッケージャが暗黙のデフォルトを変更した場合でも、明示的な無効化は機能します。
  3. 明示的な無効化は、暗黙的なデフォルトを信頼するよりも、一部の人々を安心させます。
5
gowenfawr