சூடோ தொகுப்பில் ஒரு பாதிப்பு (CVE-2023-22809) அடையாளம் காணப்பட்டுள்ளது, பிற பயனர்களின் சார்பாக கட்டளைகளை செயல்படுத்துவதை ஒழுங்கமைக்கப் பயன்படுகிறது, இது ஒரு உள்ளூர் பயனரை கணினியில் எந்த கோப்பையும் திருத்த அனுமதிக்கிறது, இது அவர்களை அனுமதிக்கிறது. /etc/shadow அல்லது கணினி ஸ்கிரிப்ட்களை மாற்றுவதன் மூலம் ரூட் உரிமைகளைப் பெற. பாதிப்பைப் பயன்படுத்த, sudoers கோப்பில் உள்ள பயனருக்கு sudoedit பயன்பாடு அல்லது "sudo" ஐ "-e" கொடியுடன் இயக்குவதற்கான உரிமை வழங்கப்பட வேண்டும்.
ஒரு கோப்பைத் திருத்துவதற்கு அழைக்கப்படும் நிரலை வரையறுக்கும் சூழல் மாறிகளை பாகுபடுத்தும் போது “—” எழுத்துக்களை சரியாக கையாளாததால் பாதிப்பு ஏற்படுகிறது. சூடோவில், எடிட்டர் மற்றும் வாதங்களை எடிட் செய்யப்படும் கோப்புகளின் பட்டியலிலிருந்து பிரிக்க "-" வரிசை பயன்படுத்தப்படுகிறது. SUDO_EDITOR, VISUAL அல்லது EDITOR சூழல் மாறிகளுக்கு எடிட்டர் பாதைக்குப் பிறகு தாக்குபவர் “-file” என்ற வரிசையைச் சேர்க்கலாம், இது பயனரின் கோப்பு அணுகல் விதிகளைச் சரிபார்க்காமல் உயர்ந்த சலுகைகளுடன் குறிப்பிட்ட கோப்பைத் திருத்தத் தொடங்கும்.
இந்த பாதிப்பு கிளை 1.8.0 இலிருந்து தோன்றுகிறது மற்றும் சரியான மேம்படுத்தல் sudo 1.9.12p2 இல் சரி செய்யப்பட்டது. டெபியன், உபுண்டு, ஜென்டூ, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD ஆகிய பக்கங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீடுகளை விநியோகங்களில் கண்காணிக்கலாம். ஒரு பாதுகாப்பு தீர்வாக, sudoers: Defaults!sudoedit env_delete+="SUDO_EDITOR விஷுவல் எடிட்டர்" என்பதைக் குறிப்பிடுவதன் மூலம் SUDO_EDITOR, விஷுவல் மற்றும் EDITOR சூழல் மாறிகளின் செயலாக்கத்தை முடக்கலாம்.
ஆதாரம்: opennet.ru