Sudo paketean ahultasun bat (CVE-2023-22809) identifikatu da, beste erabiltzaile batzuen izenean komandoen exekuzioa antolatzeko erabiltzen dena, tokiko erabiltzaile bati sistemako edozein fitxategi editatzeko aukera ematen diona, eta, aldi berean, aukera ematen die. root eskubideak lortzeko /etc/shadow edo sistemako scriptak aldatuz. Ahultasuna ustiatzeak sudoers fitxategiko erabiltzaileari sudoedit utilitatea edo "sudo" "-e" banderarekin exekutatzeko eskubidea ematea eskatzen du.
Zaurgarritasuna fitxategi bat editatzeko deitutako programa definitzen duten ingurune-aldagaiak analizatzean βββ karaktereak behar bezala kudeatu ez izateak eragiten du. Sudo-n, "-" sekuentzia editorea eta argumentuak editatzen ari diren fitxategien zerrendatik bereizteko erabiltzen da. Erasotzaileak "-fitxategia" sekuentzia gehi diezaioke editorearen bidearen ondoren SUDO_EDITOR, VISUAL edo EDITOR ingurune-aldagaiei, eta horrek pribilegio handiekin zehaztutako fitxategia editatzen hasiko du, erabiltzailearen fitxategien sarbide-arauak egiaztatu gabe.
Ahultasuna 1.8.0 adarretatik agertzen da eta sudo 1.9.12p2 eguneraketa zuzentzailean konpondu zen. Banaketetan paketeen eguneratzeak argitalpenaren jarraipena egin daiteke orrialdeetan: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD. Segurtasun konponbide gisa, SUDO_EDITOR, VISUAL eta EDITOR ingurune-aldagaien prozesamendua desgai dezakezu sudoers-en zehaztuta: Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
Iturria: opennet.ru