Mõni minut tagasi avaldas Canonical uue turvaraporti. Seekord parandatud haavatavus on veel üks neist, mis võivad jääda märkamatuks ja me oleksime võinud kahe silma vahele jätta, kuid see on silmatorkav, sest see on midagi, mida kõik Ubuntu kasutajad teavad komando sudo. Avaldatud aruanne on USN-4154-1 ja nagu arvata võib, mõjutab see kõiki toetatud Ubuntu versioone.
Veidi täpsustamiseks on toetatud versioonid, millele viidame Ubuntu 19.04, Ubuntu 18.04 ja Ubuntu 16.04 oma tavalises tsüklis ning Ubuntu 14.04 ja Ubuntu 12.04 ESM (Extended Security Maintenance) versioonis. Kui pääseme juurde haavatavus parandatud, mis avaldab Canonicali, näeme, et kõigi ülalnimetatud versioonide jaoks on juba olemas plaastrid, kuid see mõjutab endiselt Ubuntu 19.10 Eoan Ermine'i, nagu võime lugeda punasest tekstist "vajalik".
sudo on haavatavuse parandamiseks värskendatud versioonile 1.8.27
Parandatud viga on CVE-2019-14287, mida kirjeldatakse kui:
Kui sudo on konfigureeritud lubama kasutajal Runade spetsifikatsioonis märksõna ALL kaudu käske suvalise kasutajana käivitada, on võimalik käske käivitada juurkasutajana, määrates kasutaja ID -1 või 4294967295.
Canonical on selle otsuse sildistanud seisuga keskmise prioriteediga. Sellegipoolest panevad meid mõtlema "sudo" ja "juur" Lockdown, turvamoodul, mis ilmub Linuxi 5.4 abil. See moodul piirab veelgi õigusi, mis on ühelt poolt turvalisem, kuid teiselt poolt takistab see meeskonna omanikke olemast mingisugune "jumal". Sel põhjusel on selle üle pikka aega vaieldud ja Lockdown keelatakse vaikimisi, kuigi peamine põhjus, miks see nii on, on see, et see võib kahjustada olemasolevaid opsüsteeme.
Värskendus on juba saadaval erinevates tarkvarakeskustes. Arvestades seda, kui lihtne ja kiire on värskendamine, pole teoreetiliselt vaja seda taaskäivitada, värskendada kohe.