製品・ソフトウェアに関する情報
Apple macOS High Sierra に無効化されているアカウントに対する認証回避の問題
Title Apple macOS High Sierra に無効化されているアカウントに対する認証回避の問題
Summary

Apple macOS High Sierra には、"root" アカウントをはじめとする、無効化されているアカウントに対する認証回避の問題があります。認証されたユーザがルート権限を取得することが可能です。 Apple macOS High Sierra には、無効化されているアカウントに対する認証処理に問題があります。初期設定においてはユーザ名 "root" のアカウントが無効化された状態で存在します。macOS では、管理者権限を必要とする操作を行った場合に管理者権限を持ったアカウントの認証情報の入力を求められますが、ユーザ名 "root" および空のパスワードを入力した場合、1回目の入力ではログインに失敗しているように見えますが、実際には、"root" アカウントが有効化され、パスワードなしでログインできる状態に変更されます。次いで2回目に同じ認証情報を入力すると "root" アカウントでの操作が可能になります。ローカルにログインしているユーザまたは SSH ログインしているユーザによって一度この操作が行われると、"root" アカウントによる認証が有効になることに注意が必要です。 なお、この脆弱性を確認するだけのつもりでも、いちどこの操作を行うと当該アカウントが有効になるので注意が必要です。

Possible impacts 当該システムにログインしたユーザが、パスワードなしに "root" 権限を取得する可能性があります。"root" アカウントが有効化されていると、OS が提供する "Screen Sharing" や "Remote Management" などのリモート管理機能の認証に使われる可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに最新版へアップデートしてください。 開発者が提供する情報 https://support.apple.com/en-us/HT208315 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。   * 管理者権限でターミナルを開いてコマンド sudo passwd -u root を実行し、強いパスワードを設定する GUI の操作でパスワードを設定する方法については、開発者の提供する情報を参照してください。 開発者の提供する情報 https://support.apple.com/ja-jp/HT204012 なお、上記ワークアラウンドを実施して "root" アカウントにパスワードを設定しても、"root" アカウントを無効化すると脆弱な状態にもどってしまうことに注意が必要です。

Publication Date Nov. 29, 2017, midnight
Registration Date Dec. 1, 2017, 12:20 p.m.
Last Update March 14, 2018, 2:15 p.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 警告
Score 6.8
Vector AV:L/AC:L/Au:S/C:C/I:C/A:C
Affected System
アップル
Apple Mac OS X 10.13.1
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2017年12月01日]
  掲載
Feb. 17, 2018, 10:37 a.m.
1 [2018年03月14日]
  参考情報:National Vulnerability Database (NVD) (CVE-2017-13872) を追加
March 14, 2018, 12:04 p.m.

NVD Vulnerability Information
CVE-2017-13872
Summary

An issue was discovered in certain Apple products. macOS High Sierra before Security Update 2017-001 is affected. The issue involves the "Directory Utility" component. It allows attackers to obtain administrator access without a password via certain interactions involving entry of the root user name.

Publication Date Nov. 30, 2017, 2:29 a.m.
Registration Date Jan. 26, 2021, 1:15 p.m.
Last Update Nov. 21, 2024, 12:11 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:apple:mac_os_x:10.13.0:*:*:*:*:*:*:*
cpe:2.3:o:apple:mac_os_x:10.13.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List