The Hacker News รายงานการพบช่องโหว่ CVE-2019-14287 ที่ค่อนข้างร้ายแรง ในคำสั่ง sudo โดยกระทบกรณีที่ผู้ดูแลระบบให้สิทธิ์ผู้ใช้ในการรันคำสั่งแทนผู้ใช้อื่น แต่จำกัดไม่ให้รันในสิทธิ์ root
ช่องโหว่นี้มีผลเมื่อผู้ใช้ที่มุ่งร้าย ระบุเลข user id ให้กับคำสั่ง sudo เป็น -1 หรือ 4294967295 ระบบจะบั๊กแล้วตีความว่าเป็นคำสั่งจาก user 0 ซึ่งเป็นสิทธิระดับ root แม้ว่าไฟล์ sudoer จะระบุไว้ว่าไม่ให้สิทธิ์ก็ตาม
ช่องโหว่นี้กระทบ sudo เวอร์ชัน 1.8.28 ลงไป ซึ่งก็คาดว่าดิสโทรต่าง ๆ น่าจะปล่อยอัพเดตอุดช่องโหว่ให้เร็ว ๆ นี้ ผู้ใช้ลินุกซ์ควรติดตามและรีบอัพเดตเร็วที่สุด
ที่มา - The Hacker News