cve systemmanagemant 最近はシステム管理を root でやることはすっかりお行儀が悪いことになってしまって、sudo を使うことが一般的にになりました。
ただ、誰もが sudo を無制限に使えるようにすると収拾がつかなくなるので、/etc/sudoers で縛っていることも多いと思います。
例えばこんな具合です。
このような定義の場合、ユーザーbob は myhost 上で sudo を使って root 以外のユーザーとして vi を実行することができます。
ところが今回の問題はsudo -u#-1 /usr/bin/vi やsudo -u#4294967295 /usr/bin/vi という感じで、ユーザー ID として4294967295*1 や-1 を与えると、実行されたプログラムの UID = 0 (つまり root ) になり、制限が回避できてしまうとのこと。というわけで、ユーザーの所に ALL が指定されていて、特定のユーザーを除外しているような場合にのみ悪用が可能ということになります。
日本語の詳しい解説については以下が読みやすいです。
python Python 3.8 がリリースされました*1。
新しいところ*2としては:=(セイウチ演算子)*3 が導入されたのが目につきますね。
ただ「セイウチ演算子の使用は、複雑さを減らしたり可読性を向上させる綺麗なケースに限るよう努めてください」と濫用しないように但し書きがつけられています。
セイウチ演算子を導入した「Python 3.8.0」がリリース ~“Microsoft Store”からも入手可能 - 窓の杜
最新版の「Python 3.8」では、代入式(Assignment Expressions)を実現するセイウチ演算子(:=)が導入されたほか、関数を宣言する際に記号“/”を用いることでキーワードによる引数を制限し、位置による引数を強制する機能が追加された。
