Sudo 漏洞让非特权用户获得 root 权限

UNIX 和 Linux 操作系统广泛使用的工具 Sudo 又发现了一个高危漏洞，这个漏洞在启用了 pwfeedback 的系统中很容易利用。漏洞编号 CVE-2019-18634，是一个堆栈缓冲溢出 bug，影响 v1.7.1 到 1.8.25p1，能通过管理员权限触发，而在启用了 pwfeedback 的操作系统中，该漏洞让非特权用户很容易通过缓冲溢出获得 root 权限，不需要攻击者有 Sudo 使用权限。在 Sudo 上游版本中，pwfeedback 没有默认启用，但在下游发行版如 Linux Mint 和 Elementary OS 中，pwfeedback 被默认启用了。Ubuntu 不受影响。该漏洞是在 2009 年被引入到 Sudo 中的，直到 2018 年释出的 1.8.26b1，受影响的系统应尽可能快的更新到 1.8.31。