all InfoSec news
sudoedit (`sudo -e`) に係る脆弱性 (CVE-2023-22809)
Jan. 19, 2023, 2:31 p.m. | nabbisen
DEV Community dev.to
脆弱性情報
sudo の、sudoedit (sudo -e) に係る脆弱性です。任意のファイルを変更され、権限奪取、およびそれをもとにした情報窃取が行われるおそれがあります。
CVE
対応方法
1.8 以降のバージョンの場合、2023-01-19 本日リリースの最新版 (1.9.12p2) に更新することが推奨されています。
暫定対応
すぐのアップデートが難しい場合、
sudoers に 1 行追加することでリスクを軽減できる、と公式サイト (英語) で 案内 されています:
Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
参考
本記事は小社のツイートをもとにしています。
More from dev.to / DEV Community
Jobs in InfoSec / Cybersecurity
Malware Analyst - TASO / Active Secret
@ Peraton | Arlington, VA, United States
Information Security Engineer
@ Deel | Anywhere (APAC)
Cybersecurity Engineer
@ Booz Allen Hamilton | USA, DC, Washington (1125 15th St NW)
Director, Security Engineering
@ Warner Bros. Discovery | GA Atlanta 1050 Techwood Drive NW
Consultant Senior Securité Réseaux
@ Devoteam | Tunis, Tunisia
SOC Analyst, Mid
@ Peraton | Washington, DC, United States