A través de Hispasec nos enteramos de la detección de un fallo de seguridad que afecta a varias distribuciones linuxeras que hacen uso del comando sudo para ejecutar aplicaciones o tareas de mantenimiento como otro usuario o como administrador del sistema. Concretamente la vulnerabilidad radica en un error de formato de cadena en la función «sudo_debug de sudo.c» cuando procesa el nombre del programa que se le pasa por parámetro.
Un usuario malintencionado podría realizar un enlace a nivel de sistema de ficheros del binario del comando sudo hacia un archivo, con un nombre manipulado y que contuviera caracteres especiales de cadena. Cuando ejecutase ese nuevo enlace lo haría con privilegios de root. Este problema no solo afecta a GNU/Linux, sigo que sistemas operativos también basados en UNIX, como BSD o Mac también se han visto afectados. Se ha publicado un parche que lo soluciona.