MAC OS Xのsudoにパスワードを入力しなくてもよくなるバグ

Mac OS X Sudo Password Bypass | Hacker News
Mac OS X Sudo Password Bypass ≈ Packet Storm

管理者権限を持つユーザーで、かつ、一度でもsudoを実行したことのあるユーザーならば、パスワードを入力しなくてもsudoが使えてしまうバグが発覚した。

sudoというのは、ご存知、管理者権限でプログラムを実行するプログラムだ。sudoを一度実行すると、しばらくの間（デフォルトでは15分間）、認証がキャッシュされ、sudoはパスワード入力なしで使えるようになる。この機能により、管理者権限を必要とする作業を集中して行う短時間の間に、何度もパスワードを入力する煩わしさをなくしている。

MAC OS X 10.7-10.8.4のsudoは、この「しばらくの間」を判定する方法にバグがあり、システムクロックを1970年1月1日（ご存知UNIX時間の起点）に設定すると、sudo -kが常に「しばらくの間」だと判定され、永久に使えてしまうバグがあるそうだ。

なんともお粗末なバグだ。

このバグは最新のMAC OS Xなら、すでに修正済みだそうだ。

追記：このバグMAC OS Xに限らないCVE-2013-1775として報告されたsudoのバグで、しかも今年に入ってから発覚したので、MAC OS X以外のOSの、結構最近のsudoのバイナリも該当する。