sudoのメイン開発者であるTodd Millerは2月5日、pwfeedbackオプションが有効な場合にバッファオーバーフローを引き起こす可能性のあるバグが2009年のバージョン1.7.1より存在しており、1月31日にリリースした「sudo 1.8.31」においてその修正を含むアップデートを行ったことを明らかにした。
- Buffer overflow when pwfeedback is set in sudoers
この脆弱性は「CVE-2019-18634」として2019年10月にAppleのJoe Vennixにより最初に報告され、以後、追跡が行われてきた。Millerによれば、sudo 1.7.1からsudo 1.8.30までのバージョンがこの脆弱性の影響を受け、とくにsudo 1.26以前のバージョンを使っている場合は注意が必要だが、pwfeedbackオプションを有効にしていなければ影響はない。ただし、Linux Mintやelementary OSなど一部のディストリビューションではsudoersフィルでpwfeedbackがデフォルトで有効にされており、悪用される可能性が高くなっている。
当該のsudoバージョンでpwfeedbackオプションが有効になっていると、攻撃者はsudoパーミッションを要求しなくても、この脆弱性を悪用してパスワード入力時に大きなデータを渡し、バッファオーバーフローを再現することが可能になる。
sudo 1.7.1がリリースされたのは2009年4月であるため、約10年にわたってこの脆弱性が存在していたことになる。
すでに修正済みのバージョンが1.8.31としてリリースされているが、まずはpwfeedbackオプションの有効/無効を確認することが推奨される。