sudo-rs в составе Ubuntu 25.10 уже имеет 2 уязвимостями безопасности

Переход Ubuntu 25.10 на использование некоторых системных утилит на языке Rust продолжает оставаться довольно тернист. Помимо некоторых ранних проблем с производительностью Rust Coreutils, сбоев в работе некоторых исполняемых файлов и нерабочих обновлений без присмотра из-за ошибки Rust Coreutils, головную боль разработчикам Ubuntu доставляет sudo-rs. Существуют две проблемы безопасности, затрагивающие rust-версию sudo, используемую в Ubuntu 25.10. Изначально открытое как частное сообщение об ошибке.

«В пятницу (7 ноября 2025 г.) Upstream выпустит исправление для двух уязвимостей умеренной степени опасности. Ожидаемый скоординированный выпуск этого исправления – понедельник (10 ноября 2025 г.). Одна из этих уязвимостей – CVE-2025-64170».

Это сообщение об ошибке было обнародовано вместе с исправлениями sudo-rs. В Ubuntu 25.10 также вышло обновление стабильного релиза (SRU) для решения этих двух проблем безопасности. Одно из исправлений направлено на предотвращение утечки пароля sudo в случае таймаута или завершения работы sudo. Другой патч – использование enum для параметра обратной связи. Еще одно исправление гарантирует, что обратная связь всегда стирается перед выходом из кода read unbuffered. Также внесено изменение, чтобы не рассматривать пробел как символ пароля, когда пароль пуст.

Я еще не видел ни одного обнародованного CVE-отчета по этим проблемам безопасности sudo-rs, но даже одна из них, связанная с потенциальной утечкой пароля sudo в случае таймаута или завершения работы sudo, является значительной.

Выпущен sudo-rs 0.2.10 с последними исправлениями и другими изменениями. Пакет sudo-rs для Ubuntu 25.10 находится в стадии SRU’ed для пользователей.

Подробнее