He whakaraeraetanga (CVE-2023-22809) kua kitea i roto i te kete sudo, i whakamahia hei whakarite i te whakahaerenga o nga whakahau mo etahi atu kaiwhakamahi, e taea ai e tetahi kaiwhakamahi o te rohe te whakatika i tetahi konae kei runga i te punaha, ka taea e ratou. ki te whiwhi motika pakiaka ma te huri i te /etc/shadow or system scripts. Ko te whakamahi i te whakaraeraetanga me whai mana te kaiwhakamahi i roto i te konae sudoers ki te whakahaere i te whaipainga sudoedit "sudo" ranei me te haki "-e".
Ko te whakaraeraetanga i puta mai i te kore o te whakahaere tika o nga tohu "—" i te wa e poroporoaki ana i nga taurangi taiao e tautuhi ana i te papatono e kiia ana hei whakatika i tetahi konae. I te sudo, ka whakamahia te raupapa "-" hei wehe i te ētita me nga tohenga mai i te rarangi o nga konae e whakatikahia ana. Ka taea e te kaiwhaiwhai te taapiri i te raupapa "-file" i muri i te ara etita ki nga huringa taiao SUDO_EDITOR, VISUAL, EDITOR ranei, ka tiimata te whakatika i te konae kua tohua me nga mana teitei me te kore e tirotiro i nga ture urunga a te kaiwhakamahi.
Ka puta mai te whakaraeraetanga mai i te peka 1.8.0 ka whakatikahia ki te whakahou whakatika sudo 1.9.12p2. Ko te whakaputanga o nga whakahōutanga mōkihi i roto i nga tohatoha ka taea te whai i nga wharangi: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD. Hei mahi haumaru, ka taea e koe te whakakore i te tukatuka o nga taurangi taiao SUDO_EDITOR, VISUAL me EDITOR ma te tautuhi i roto i nga sudoers: Taunoa!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
Source: opennet.ru