В команде sudo, призванной ограничивать права пользователей, обнаружена серьезная уязвимость, из-за которой происходит обратное, — появляется возможность выполнять команды с привилегиями уровня root.

Брешь была обнаружена специалистами по безопасности компании Apple. Она проявляется, если в sudoers, файле настройки привилегий для sudo, задать ограничение, которое разрешает пользователю выполнять указанную команду от имени любого другого пользователя, кроме root, — однако из-за ошибки в sudo пользователь получает возможность выполнить такую команду с высшими привилегиями.

Проблема присутствует в sudo версий ниже 1.8.28, уязвимости назначен код CVE-2019-14287 в базе Common Vulnerabilities and Exposures.