sudoは、意外に危ない

楽に確実に保守管理をしたい。

ここでいう確実というのは、セキュリティホールとか、バグ、不具合を追っかけ続けるのが大変で
システムの構成によっては、不具合が出たり

特に、バージョン違いで、仕様が変わったりすると、そりゃもう大変で
全ての組み合わせを検証するのは、時間的、コスト的に不可能に近い。

そんな訳で、dockerを使ったりするのだが
組み合わせ方によっては、セキュリティホールになったりする。

特に、sudoっていうのが、意外に危なくて
root権限がないユーザーでも昇格できる脆弱性があったりする。

これ、以前から、やばいなっとは思っていた。10年以上前から脆弱性が存在していて
ハッカーの間では、うすうす気がついていた人多い。

https://www.jpcert.or.jp/at/2021/at210005.html

sudoの脆弱性は、去年発表されたのは、pwfeedbackにバグがあり、スタックオーバーフローベースの攻撃が可能

https://www.sudo.ws/alerts/pwfeedback.html

そんな訳で、実装する時は、保守コストが低くて、つまり手間がかからなくって、セキュリティホールが少ない組み合わせを考えないと
後で大変な思いをする。

私が知っているネットワークを売っている業者でも、セキュリティホールありまくりだし、そこを指摘すると
そもそも、インターネットにつないでいるということは、侵入されても仕方がないと、逆ギレされてしまった。

そういうのが、複数社あるのと、やはりコスト的に、セキュリティを強化するのは、困難っていう会社もある。
「対策は、祈るしかない」っていう所多い。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください