[ubuntu-jp:6374] Gigazineの記事：Ubuntuに特権ユーザーを誰でも簡単に作成できてしまう脆弱性が見つかる

[Toshiaki Koike]

小池です。

https://gigazine.net/amp/20201113-ubuntu-make-administrator-vulnerability

Gigazineの記事：Ubuntuに特権ユーザーを誰でも簡単に作成できてしまう脆弱性が見つかる
についてですが、脆弱性は脆弱性として、現実的にこれが脅威になる可能性ってあるのでしょうか？

そもそもマシンに物理的にアクセスできる状況であればシングルユーザーモードで特権ユーザー作成できてしまうので、わざわざ上記記事のような脆弱性をつ
くものでもないかと。

私はほとんど経験がないのですが、リモートデスクトップだと、この脆弱性を利用できる可能性はあるのでしょうか？
（それ以前に、SSHログインならともかくリモートデスクトップでのアクセス権を複数人に付与する運用がありうるのか、という問題は置いといて）

この脆弱性は、

(1)accounts-daemonを生成する「accountsservice」パッケージに対し、Ubuntuが加えた独自処理に由来するもの
(2)Ubuntuが採用しているディスプレイマネージャー・GDM3に存在

だそうですが。
リモートデスクトップの場合、(1)を利用してaccounts-
daemonからの返答が無い状況を作ったとして、(2)にたどりつく以前に接続が切られてしまう（＝この脆弱性をつくことはできない）ような気がしま
すが、実際のところどうなのでしょう？
（ほぼ純粋な興味です）


-- 
-------------------------------------------------
小池利明
t-k ＠ dive2.blue
Toshiaki Koike
-------------------------------------------------
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <https://lists.ubuntu.com/archives/ubuntu-jp/attachments/20201114/390af908/attachment.html>