Ubuntu 25.10: обнаружена уязвимость в sudo-rs
Ubuntu 25.10 вновь столкнулась с проблемами при переходе на Rust-утилиты: на этот раз под удар попал sudo-rs — переписанная на Rust версия классической команды sudo. В коде обнаружены две уязвимости средней степени опасности, одна из которых получила идентификатор CVE-2025–64170.
Баги были выявлены на прошлой неделе и сначала проходили в статусе приватного отчёта в Launchpad. Разработчики планировали синхронный выпуск исправлений: апстрим-версия должна была выйти 7 ноября, а координированный релиз — 10 ноября 2025 года. После публикации патчей Ubuntu подготовила Stable Release Update (SRU) для распространения исправлений пользователям.
Одно из исправлений предотвращает утечку пароля sudo в случае, если процесс завершается по тайм-ауту или принудительно. Другие патчи касаются корректной обработки параметра обратной связи, стирания данных перед выходом из функции чтения и исключения нажатия клавиши backspace при пустом вводе пароля.
Переход Ubuntu на Rust-утилиты продолжается с трудностями. Ранее разработчики уже сталкивались с ошибками производительности Rust Coreutils, неработоспособностью некоторых исполняемых файлов и сбоем при автоматических обновлениях. Теперь список проблем пополнил и sudo-rs.
>>> Подробности
