Опубликован выпуск проекта sudo-rs 0.2.10, развивающего написанные на языке Rust варианты утилит sudo и su. Новая версия примечательна исправлением двух уязвимостей, которые проявляются среди прочего в дистрибутиве Ubuntu 25.10, в котором sudo-rs задействован вместо утилиты sudo. Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности - в августе 2023 года (NLnet) и в августе 2025 года (NGICore).

Выявленные уязвимости:

• CVE-2025-64517 - привилегированный пользователь, имеющий полномочия выполнения через sudo команд под другими пользователями или с правами root, мог запустить через sudo команды под пользователем, пароль которого он не знает, несмотря на включение дополнительных настроек, требующих ввода пароля целевого пользователя. Атака возможна если этот привилегированный пользователь знает пароль хотя бы одного пользователя, для которого ему разрешено выполнение команд в настройках sudo.

  Уязвимость имеет смысл только при включении в настройках sudoers флагов rootpw и targetpw, которые по умолчанию отключены и поддерживаются начиная с версии sudo-rs 0.2.5, опубликованной в апреле. Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя. Уязвимость в том, что поведение не меняется и привилегированный пользователь по-прежнему может использовать свой пароль для выполнения команд под root, хотя при активных флагах targetpw и rootpw должен ввести пароль root.

   
     /etc/sudoers:
        Defaults targetpw
        user ALL=(ALL:ALL) ALL
  
     $ sudo -g root whoami
     [sudo: authenticate] Password: <password for user>
     user
  
     $ sudo -u root whoami
     root
  
  

  Проблема вызвана тем, что после аутентификации через sudo пользователь должным образом не отражался в timestamp-файлах, используемых для кэширования учётных данных (UID-идентификатор пользователя, идентификатор сеанса и время начала сеанса). Кэширование применяется для возможности повторного выполнения операций без пароля в течении 15 минут после успешной аутентификации. При выставлении флага targetpw или rootpw в timestamp-файл записывался UID запускающего sudo пользователя вместо UID аутентифицированного пользователя. Уязвимости присвоен средний уровень опасности (4.4 из 10).

• CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, если набор не был завершён клавишей Enter до наступления таймаута (по умолчанию 5 минут). Уязвимость проявляется только в конфигурациях без включённой настройки pwfeedback (по умолчанию не включена). Поддержка таймаута на ввод пароля добавлена в июльском выпуске sudo-rs 0.2.7. Проблеме присвоен низкий уровень опасности (3.8 из 10).

  
   $ sudo -s
   [sudo: authenticate] Password: sudo-rs: timed out
   $ testpassword