Sudoのバージョン1.8.28より以前の環境に存在するコマンド実行の脆弱性(CVE-2019-14287)が米国時間10月14日に報告された。Sudoは同日にバージョン1.8.28でこの脆弱性を解決しており、主要なLinuxディストビューターも情報を公開している。
この脆弱性は、sudoコマンドを実行する際に引数で指定するユーザーIDの検証が適切に行われないというもの。脆弱性を悪用された場合、権限設定ファイルのsudoersでroot権限によるコマンド実行を許可していない場合でも、root権限でコマンドを実行できてしまう可能性がある。ただし悪用するには、sudoersで「ALL」のキーワードにより、他のユーザーとしてsudoコマンドを実行できる権限が設定されている必要があるという。
Red Hat、Red Hat Enterprise Linux(RHEL) 5~9がこの脆弱性の影響を受けるとしたが、RHEL 5は既にサポート対象から外れているため注意が必要だ。Debianは、リリースjessie、stretch、bullseye, sid, busterの一部で脆弱性の影響を受けると説明、busterの1.8.27-1+deb10u1およびstretchの1.8.19p1-2.1+deb9u1で対策済みだとしている。
SUSEは、SUSE OpenStack Cloudなど数十種類のパッケージが脆弱性の影響を受けるとしており、該当するパッケージと修正版のリストをウェブサイトで公開している。Ubuntuも一部を除いて修正対応を進めているとした。
共通脆弱性評価システム(CVSS) バージョン3による脆弱性の影響度評価(最大値10.0)については、Red Hatが7.8、SUSEは7としている。
