Një dobësi (CVE-2023-22809) është identifikuar në paketën sudo, e përdorur për të organizuar ekzekutimin e komandave në emër të përdoruesve të tjerë, e cila lejon një përdorues lokal të modifikojë çdo skedar në sistem, i cili, nga ana tjetër, i lejon ata për të fituar të drejta rrënjësore duke ndryshuar /etc/shadow ose skriptet e sistemit. Shfrytëzimi i cenueshmërisë kërkon që përdoruesit në skedarin sudoers t'i jepet e drejta për të ekzekutuar programin sudoedit ose "sudo" me flamurin "-e".
Dobësia është shkaktuar nga mungesa e trajtimit të duhur të karaktereve "-" kur analizohen variablat e mjedisit që përcaktojnë programin e thirrur për të redaktuar një skedar. Në sudo, sekuenca "-" përdoret për të ndarë redaktorin dhe argumentet nga lista e skedarëve që modifikohen. Një sulmues mund të shtojë sekuencën "-file" pas shtegut të redaktuesit në variablat e mjedisit SUDO_EDITOR, VISUAL ose EDITOR, të cilat do të inicojnë redaktimin e skedarit të specifikuar me privilegje të ngritura pa kontrolluar rregullat e aksesit të skedarit të përdoruesit.
Dobësia shfaqet që nga dega 1.8.0 dhe u rregullua në përditësimin korrigjues sudo 1.9.12p2. Publikimi i përditësimeve të paketave në shpërndarje mund të gjurmohet në faqet: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD. Si një zgjidhje sigurie, mund të çaktivizoni përpunimin e variablave të mjedisit SUDO_EDITOR, VISUAL dhe EDITOR duke specifikuar në sudoers: Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
Burimi: opennet.ru