Linuxeden开源社区Ubuntu 25.10 过渡到使用一些 Rust 系统工具的过程继续证明相当坎坷。除了 Rust Coreutils 早期性能问题、某些可执行文件损坏以及由于 Rust Coreutils 漏洞导致的无人值守升级失败外,sudo-rs 现在也让 Ubuntu 开发者头疼。有两个中等安全问题影响 sudo-rs,即 Ubuntu 25.10 使用的 Rust 版本的 sudo。
上周最初作为私人错误报告提交的是[sudo-rs]更新,用于解决两个中等严重性的漏洞。
“上游将在周五(2025 年 11 月 7 日)发布针对两个中等漏洞的修复。”
预计该修复的协调发布时间是周一(2025 年 11 月 10 日)。
其中一项漏洞是 CVE-2025-64170。
该错误报告现已公开,上游 sudo-rs 的修复程序已提交。Ubuntu 25.10 也将看到一个稳定的发布更新(SRU),用于解决这两个安全问题。
其中一个补丁是为了防止 sudo 密码在超时或 sudo 被终止时泄露。另一个补丁是使用枚举类型来处理反馈参数。另一个补丁是为了确保在退出未缓冲的读取代码之前始终清除反馈。另一个更改也是不将退格键视为密码字符,当密码为空时。
我还没有看到针对这些 sudo-rs 安全问题的 CVE 报告公开,但即使单独来看,在超时或 sudo 被终止时可能泄露 sudo 密码的问题也相当严重。
现在发布的 sudo-rs 0.2.10 包含了最新的修复和其他更改。针对 Ubuntu 25.10 的 sudo-rs 软件包正在 SRU(安全修复更新)过程中提供给用户。
转自 sudo-rs Affected By Multiple Security Vulnerabilities – Impacting Ubuntu 25.10 – Phoronix