Nuglaanta (CVE-2023-22809) ayaa lagu aqoonsaday xirmada sudo, oo loo isticmaalo in lagu abaabulo fulinta amarada iyada oo ka wakiil ah isticmaaleyaasha kale, taas oo u oggolaanaysa isticmaale maxalli ah in uu tafatiro fayl kasta oo ku jira nidaamka, kaas oo, isna, u oggolaanaya iyaga. si loo helo xuquuqaha xididka adoo bedelaya /etc/shadow ama qoraallada nidaamka. Ka faa'iidaysiga nuglaanta waxay u baahan tahay in adeegsadaha ku jira faylka sudoers-ka la siiyo xaqa uu u leeyahay inuu ku socodsiiyo utility sudoedit ama "sudo" oo wata calanka "-e".
Nuglaanta waxaa sababa la'aanta maaraynta saxda ah ee "-" xarfaha marka la kala saarayo doorsoomayaasha deegaanka ee qeexaya barnaamijka loogu yeero in lagu tafatiro faylka. Sudo, taxanaha "-" waxaa loo isticmaalaa in lagu kala saaro tifaftiraha iyo doodaha liiska faylalka la tafatiray. Weeraryahanku wuxuu ku dari karaa taxanaha "-file" ka dib dariiqa tifaftiraha SUDO_EDITOR, VISUAL, ama EDITOR doorsoomayaasha deegaanka, kaas oo bilaabi doona tafatirka faylka la cayimay oo leh mudnaanta sare iyada oo aan la hubin sharciyada gelitaanka faylka isticmaalaha.
Nuglaanta ayaa soo muuqata tan iyo laanta 1.8.0 waxaana lagu hagaajiyay cusboonaysiinta sixitaanka sudo 1.9.12p2. Daabacaada cusbooneysiinta xirmada ee qaybinta waxaa lagala socon karaa bogagga: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD. Ilaalinta amniga ahaan, waxaad joojin kartaa habaynta SUDO_EDITOR, VISUAL iyo EDITOR doorsoomayaasha deegaanka adiga oo ku cadaynaya sudoers: Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
Source: opennet.ru