ไม่กี่นาทีที่ผ่านมา Canonical ได้เผยแพร่รายงานความปลอดภัยฉบับใหม่ ช่องโหว่ที่ได้รับการแก้ไขในครั้งนี้เป็นอีกช่องโหว่ที่อาจไม่มีใครสังเกตเห็นและเราอาจจะพลาดไป แต่มันก็น่าประทับใจสำหรับการอยู่ในสิ่งที่ผู้ใช้ Ubuntu ทุกคนรู้: คำสั่ง sudo. รายงานที่เผยแพร่คือไฟล์ ยูเอส -4154-1 และอย่างที่คุณคาดหวังมันมีผลกับ Ubuntu ทุกรุ่นที่รองรับ
หากต้องการระบุเพิ่มเติมเล็กน้อยเวอร์ชันที่รองรับที่เราอ้างถึงคือ Ubuntu 19.04, Ubuntu 18.04 และ Ubuntu 16.04 ในวงจรปกติและ Ubuntu 14.04 และ Ubuntu 12.04 ในเวอร์ชัน ESM (Extended Security Maintenance) หากเราเข้าไปที่หน้าของไฟล์ แก้ไขช่องโหว่ซึ่งเผยแพร่โดย Canonical เราเห็นว่ามีแพตช์สำหรับทุกเวอร์ชันที่กล่าวมาข้างต้นแล้ว แต่ Ubuntu 19.10 Eoan Ermine ยังคงได้รับผลกระทบเนื่องจากเราสามารถอ่านข้อความเป็นสีแดงได้ว่า "จำเป็น"
sudo ได้รับการอัปเดตเป็นเวอร์ชัน 1.8.27 เพื่อแก้ไขช่องโหว่
ข้อบกพร่องที่ได้รับการแก้ไขคือ CVE-2019-14287ซึ่งอธิบายว่า:
เมื่อกำหนดค่า sudo ให้อนุญาตให้ผู้ใช้ดำเนินการคำสั่งในฐานะผู้ใช้โดยพลการผ่านคีย์เวิร์ด ALL ในข้อกำหนด Runas คุณสามารถดำเนินการคำสั่งเป็นรูทได้โดยระบุ ID ผู้ใช้ -1 หรือ 4294967295
Canonical มีป้ายกำกับการพิจารณาคดีเป็นของ ลำดับความสำคัญปานกลาง. ยังคง "sudo" และ "root" ทำให้เรานึกถึง ออกโรงโมดูลความปลอดภัยที่จะปรากฏขึ้นพร้อมกับ Linux 5.4 โมดูลนี้จะ จำกัด สิทธิ์ต่อไปซึ่งมีความปลอดภัยมากกว่าในอีกด้านหนึ่ง แต่ในทางกลับกันจะป้องกันไม่ให้เจ้าของทีมเป็น "พระเจ้า" กับมัน ด้วยเหตุนี้จึงมีการถกเถียงกันมาเป็นเวลานานและ Lockdown จะถูกปิดใช้งานโดยค่าเริ่มต้นแม้ว่าสาเหตุหลักคืออาจทำให้ระบบปฏิบัติการที่มีอยู่เสียหายได้
การอัปเดตพร้อมให้บริการแล้วจากศูนย์ซอฟต์แวร์ต่างๆ พิจารณาว่าการอัปเดตนั้นง่ายและรวดเร็วเพียงใดในทางทฤษฎีไม่จำเป็นต้องรีสตาร์ทอัปเดตทันที