High Sierra Macに重大バグらしい。
High Sierra — 10.13.1 (17B48)を搭載したMacでユーザー名のフィールドに“root”と打ち込むだけで誰でもログインできるらしい。
twitterのトレンドに出てた。
ご報告まで。
MacBook Pro with Retina display, macOS High Sierra (10.13.1)
Apple の脅威の通知と金銭目当てのスパイウェアへの対策について
Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。
Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。
High Sierra — 10.13.1 (17B48)を搭載したMacでユーザー名のフィールドに“root”と打ち込むだけで誰でもログインできるらしい。
twitterのトレンドに出てた。
ご報告まで。
MacBook Pro with Retina display, macOS High Sierra (10.13.1)
現状できることがASC.jpにも出ていましたが私も試してないので書くのをためらってました。。
http://ascii.jp/elem/000/001/594/1594556/
現状できる対策
(1)アップル公式パッチを待つこと(アップルでは問題を把握しておりソフトウェアアップデートの準備を進めている)
(2)ゲストアカウントへのアクセスを無効にすること
(3)システム環境設定からルートパスワードを変更すること
または
こういうのもあります。
Security Update 2017-001 macOS High Sierra v10.13
すでに onesize さんがお書きですがいわゆる自動アップデートなので放っておいてもアップデートされるのではないかと思います。
https://applech2.com/archives/20171130-apple-automatically-patche-for-high-sierra-root-issue.html
お子様ランチ. による書き込み:
情報が錯綜してまだアップデートが出ないので、とにかく私は先ほどルートにパスワード設定しました。
:
High Sierraはバグ多いと思ってましたが、とびきりのが出てびっくり(笑)
root にパスワードを設定すると一応は回避できますが、
root を無効化してしまうとパスワードがクリアされ、
脆弱性が再発するようになるので注意してください。
from youfo
再検証していませんが、アップデートの順番でバグが解消しません。
macOS High Sierra 10.13.0 で本日s、セキュリティアップデート「のみ」が表示されたのでアップデートしました。その後、10.13.1 のアップデート表示が出たのでアップデートしました。アップデート後、2つめのアップデートが表示されたので、これもアップデートしました。
結果、バグが復活しました。おそらく10.13.1 のアップデートで1つめのセキュリティアップデートが無効になったと思われます。同時に行うとどうなるのかは不明です。またCombo アップデートのかけ直しを行うとセキュリティアップデートが無効になる可能性があります。
前記した件ですが、起きてしまうと非常によろしくないです。1つめのセキュリティアップデートが当て直せませんでした。テスト用なのでなんとでもなりますが、普段使いの環境で起きるとmacOS High Sierra 10.13.2 を待つことになります。アップデートの案内に従ってアップデートした結果なので他にも引っかかる人がいそうです。
他にも不可解な挙動がありました。ファイル共有が正常か確認しようとしたところ、他のMac からクリーンインストール後に一度も入力していないApple ID で自動ログインされました。サーバ側もクラインアント側もiCloud にサインインしていないのにです。root のバグが再発しているのでもしかしたらroot でログインした状態をApple ID でログインしたように表示しただけかもしれないですが。ただクライアント側のMac もクリーンインストール状態なのですが以前、このMac でそのID を使った覚えがありません。
回避できました。単純な話でした。root を手動で無効にする必要がありました。
経緯は1つめのセキュリティアップデートでバグは解消されていました。
macOS High Sierra 10.13.1 アップデートと2つめのアップデート後、症状再現しました。
どうやらこの時点で1つ目のセキュリティアップデート前にroot が有効になっていると10.13.1のアップデートで「root が有効」の設定が復活するようです。1つめのセキュリティアップデートで無効になっていると思ったのですが無効にはせず、症状を抑え込むのかも知れません。
10.13.0で放置していたMac 2台にセキュリティアップデート2017-001を適用し、その後10.13.1アップデートを適用すると問題が解決ないことがわかりました。
2台中1台は再度セキュリティアップデート2017-001が来たので適用しましたが、rootログインの問題は解消されていません。もう1台には2017-001はアップデートの候補として2回目は表示されません。
結果として2台ともroot問題が解決されていません。
先に10.13.1アップデートを適用しなかったのが**なのですが、こういう事例もあるので、アップデートした後に必ず問題が解決しているかご確認ください。
HAYAMA による書き込み:
「セキュリティアップデート 2017-001 」が App Store の<アップデート>タブで提供されました。早かったですね。アップデート後の OS バージョンは 10.13.1 (17B1002) となります。
その後、10.13.1(17B1002)にファイル共有できない不良が見つかり、
再度、App Store から「セキュリティアップデート 2017-001」が配信されました。
バージョンは、10.13.1(17B1003)となります。
from youfo
時間軸に沿ったアップデートが必要なんでしょうかね?
2017/11/01:macOS High Sierra 10.13.1( WPA2 問題を対策):OS Version 10.13.1 (17B48)
2017/11/30 未明:セキュリティアップデート 2017-001( root 問題を対策):OS Version 10.13.1 (17B1002)
2017/11/30:セキュリティアップデート 2017-001(共有問題を対策):OS Version 10.13.1 (17B1003)
そうだとすると、日頃のメンテナンス体制が問われる話ですね。
Rondo_1 さん、情報提供ありがとうございます。
となると、ni_ki さんや ISG04 さんが最初に適用したのは、「Security Update 2017-001 macOS High Sierra v10.13」だったのかも知れませんね。
(「Security Update 2017-001 macOS High Sierra v10.13.1」だと、エラーメッセージが表示される様に思います)
それと、私の環境では自動アップデートではなく、アップデートが有る事が通知されているだけでした。
詳しいことはわかりませんが今のところ公式の投稿日は v10.13 の方が新しいです。
https://applech2.com/archives/20171130-security-update-2017-001-macos-high-sierra-v10-13.html
それと基本的にはサイレントアップデートで今回だけ特別に明示的なようで例えば二度目のアップデートのバッジが App Store に表示された際にセーフモードでバッジを消して再表示してループさせて遊んでたんですが飽きたので放置しておいたらアップデートしろと通知が出て明日とかにしたら数分後に勝手にアップデートしました。
necota さんによる書き込み:
となると、ni_ki さんや ISG04 さんが最初に適用したのは、「Security Update 2017-001 macOS High Sierra v10.13」だったのかも知れませんね。
(「Security Update 2017-001 macOS High Sierra v10.13.1」だと、エラーメッセージが表示される様に思います)
その通りです。ある意味、私が試したのは順番通りのアップデートだった訳なのでmacOS High Sierra 10.13.1 にアップデートされた後に、次のセキュリティアップデートで自動で症状が消える必要があるので、アップデータのバグですね。
ちなみにこのトラブルを確認するためにテスト用環境を10.13.0 のままでチャレンジしました。この早急なアップデートの出し方はチェック時間もかなり短いと思いましたので。
再度、macOS High Sierra 10.13.0 のクリーンインストールから確認しました。概ね同じ状況でしたが、
確認ミスでなければ、10.13.1 にアップデート後、2度目のセキュリティアップデートをした後は再起動が吉のようですね。
ビルドが変わっていたので、再起動せずに確認したらroot が有効になってしまいました。ディレクトリユーティリティからroot を無効にした後、再起動しようと癖でsudo reboot を行なってしまいました。すると再びroot が有効になるにですね。
「セキュリティアップデート 2017-001 」が App Store の<アップデート>タブで提供されました。早かったですね。アップデート後の OS バージョンは 10.13.1 (17B1002) となります。
High Sierra Macに重大バグらしい。