Проклятие Rust-утилит. Ubuntu 25.10 снова столкнулась с проблемами: на этот раз в новом sudo-rs нашли лазейку для утечки паролей

Ubuntu 25.10 вновь столкнулась с проблемами при переходе на Rust-утилиты: на этот раз под удар попал sudo-rs — переписанная на Rust версия классической команды sudo. В коде обнаружены две уязвимости средней степени опасности, одна из которых получила идентификатор CVE-2025-64170.

Баги были выявлены на прошлой неделе и сначала проходили в статусе приватного отчёта в Launchpad. Разработчики планировали синхронный выпуск исправлений: апстрим-версия должна была выйти 7 ноября, а координированный релиз — 10 ноября 2025 года. После публикации патчей Ubuntu подготовила Stable Release Update (SRU) для распространения исправлений пользователям.

Одно из исправлений предотвращает утечку пароля sudo в случае, если процесс завершается по тайм-ауту или принудительно. Другие патчи касаются корректной обработки параметра обратной связи, стирания данных перед выходом из функции чтения и исключения нажатия клавиши backspace при пустом вводе пароля.

Хотя подробные отчёты по CVE пока не опубликованы, даже одна из выявленных проблем — риск утечки пароля — считается значимой. По сути, ошибка могла привести к тому, что введённый пользователем пароль оставался в памяти процесса, доступной для анализа.

Переход Ubuntu на Rust-утилиты продолжается с трудностями. Ранее разработчики уже сталкивались с ошибками производительности Rust Coreutils, неработоспособностью некоторых исполняемых файлов и сбоем при автоматических обновлениях. Теперь список проблем пополнил и sudo-rs.

Исправленная версия sudo-rs 0.2.10 уже доступна. Пакет включён в обновления безопасности Ubuntu 25.10 и будет автоматически установлен через стандартные механизмы системы.