お客様各位

平素よりConoHaをご利用いただきましてありがとうございます。

このたび、sudo コマンドに関する以下の脆弱性情報の発表が
ございました。

・CVE-2019-14287
　https://www.jpcert.or.jp/newsflash/2019101601.html

[対象]
- sudo 1.8.28 より前のバージョン


この脆弱性の影響により、root で実行不可として権限を設定しているにも関わらず、
root 権限でコマンドが実行できてしまう可能性があると指摘されております。

[ConoHa VPSにおける影響]

本脆弱性においては、「root以外のすべてのユーザがsudoを通してコマンド実行可能」
という状況の場合にのみ、悪用される可能性がございます。

ConoHaにて提供しているOSのテンプレートイメージにおきましては、初期状態では
「sudo実行のための特定のグループに属しているすべてのユーザ(rootを含む)がsudoを
通してコマンド実行可能」となっているため影響はございません。

[対応]
上記の脆弱性の影響で悪用される可能性のある設定状況のお客様におかれましては、
以下より発表されている情報をご確認のうえ対応をご検討ください。

[本脆弱性に関する詳細情報]
Sudo
Potential bypass of Runas user restrictions
https://www.sudo.ws/alerts/minus_1_uid.html

Red Hat Customer Portal
CVE-2019-14287
https://access.redhat.com/security/cve/CVE-2019-14287

Debian
CVE-2019-14287
https://security-tracker.debian.org/tracker/CVE-2019-14287

Ubuntu CVE Tracker
CVE-2019-14287
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14287.html

SUSE
CVE-2019-14287 Common Vulnerabilities and Exposures
https://www.suse.com/security/cve/CVE-2019-14287/