Komanda je moćna, ali developeri su sada u njoj ispravili manu koja je omogućavala da sudo korisniku dozvoli “root-level” pristup čak i kada konfiguracija specifično to zabranjuje. Pored toga što je napadač imao dovoljno pristupa da koristi sudo, mogao je da obavlja bilo koju akciju na određenom uređaju.
Ova sigurnosna mana se zasnivala na tome kako sudo tretira korisnički ID. Ukoliko se ukuca komanda sa korisničkim ID-om od -1 ili njegovim neulogovanim ekvivalentom od 4294967295, sistem bi tretirao korisnika kao da ima root pristup (user ID 0) čak i ukoliko bi snimio korisnikov identitet u logu. Pomenuti korisnikov identitet ne postoji u bazi lozinki, tako da komanda ne zahteva lozinku za korišćenje.
Linux korisnici mogu da izvrše nadogradnju na novi sudo paket (1.8.28 ili noviji) kako bi ispravili ovu ranjivost.
Izvor: Engadget
