Projekt sudo-rs, který vyvíjí verze utilit sudo a su založené na Rustu, vydal verzi 0.2.10. Nová verze je pozoruhodná opravou dvou zranitelností, které mimo jiné ovlivňují distribuci. Ubuntu 25.10, která používá sudo-rs místo utility sudo. Je pozoruhodné, že kódová základna sudo-rs dříve úspěšně prošla dvěma nezávislými bezpečnostními audity – v srpnu 2023 (NLnet) a srpnu 2025 (NGICore).
Zjištěná zranitelnost:
- CVE-2025-64517 – Privilegovaný uživatel s oprávněními sudo ke spouštění příkazů jako ostatní uživatelé nebo jako root by mohl spouštět příkazy sudo jako uživatel, jehož heslo nezná, a to i přes povolení dalších nastavení vyžadujících heslo cílového uživatele. Útok je možný, pokud privilegovaný uživatel zná heslo alespoň jednoho uživatele, pro kterého má v nastavení sudo povoleno spouštět příkazy.
Tato zranitelnost je relevantní pouze tehdy, když jsou v nastavení sudoers povoleny příznaky rootpw a targetpw, které jsou ve výchozím nastavení zakázány a podporovány od verze sudo-rs 0.2.5, publikované v dubnu. Změna těchto nastavení má změnit chování utility sudo, která by s tímto nastavením měla vyžadovat heslo cílového uživatele, nikoli heslo aktuálního uživatele. Zranitelnost spočívá v tom, že toto chování se nemění a privilegovaný uživatel může stále používat své heslo ke spouštění příkazů jako root, i když s povolenými příznaky targetpw a rootpw musí zadat heslo root. /etc/sudoers: Výchozí nastavení targetpw user ALL=(ALL:ALL) ALL $ sudo -g root whoami [sudo: authenticate] Heslo: uživatel $ sudo -u root whoami root
Problém je způsoben skutečností, že po ověření pomocí sudo se UID uživatele, ID relace a čas zahájení relace správně neprojeví v souborech časových razítek používaných k ukládání přihlašovacích údajů do mezipaměti (UID uživatele, ID relace a čas zahájení relace). Ukládání do mezipaměti umožňuje opakovat operace bez hesla po dobu 15 minut po úspěšném ověření. Pokud byl nastaven příznak targetpw nebo rootpw, do souboru časových razítek se místo UID ověřeného uživatele zapsalo UID uživatele spouštějícího sudo. Zranitelnost je hodnocena jako středně závažná (4.4 z 10).
- CVE-2025-64170 je chyba, která způsobuje, že se neúplně zadané heslo zapíše na standardní vstup a zobrazí v konzoli, pokud heslo není dokončeno stisknutím klávesy Enter před uplynutím časového limitu (ve výchozím nastavení 5 minut). Tato zranitelnost se vyskytuje pouze v konfiguracích bez povoleného nastavení pwfeedback (ve výchozím nastavení není povoleno). Podpora pro časový limit hesla byla přidána v červencové verzi sudo-rs 0.2.7. Problém je hodnocen jako nízká závažnost (3.8 z 10). $ sudo -s [sudo:authenticate] Heslo: sudo-rs: timed out $ testpassword
Zdroj: opennet.ru
