Neues aus der IT-Welt

Canonical hat bei der Einführung der Rust-Implementierung der Coreutils kein glückliches Händchen bewiesen. Zunächst war die Performance schlechter als die der GNU Coreutils, dann tauchten Bugreports mit Fehlern bei der Installation unter anderem der Virtualbox-Guest-Additions auf, weil das Makeself-Script bei der Überprüfung der Archive versagte. Ferner stellte sich heraus, daß das Tool für die Unattended Upgrades bei Ubuntu 25.10, die für automatische Sicherheitsupdates sorgen, aufgrund eines Fehlers in Rust Coreutils nicht mehr funktionierte.

Vergangene Woche wurden dann zwei Sicherheitslücken in sudo-rs, Ubuntus Rust-Implementierung von sudo bekannt. Die inzwischen gepatchten Lücken betreffen einmal das Offenlegen des sudo-Passworts bei einer Zeitüberschreitung oder beim Beenden von sudo per Kill-Befehl. Ein weiterer Patch sorgt daf&ür, daß der Parameter Feedback als Enum-Datentyp definiert wird. Dadurch kann der Feedback-Parameter nur einen vordefinierten Satz von Konstantenwerten akzeptieren, was unter anderem ungültige Eingaben verhindert. Eine weitere Änderung besteht darin, daß die Rücktaste nicht mehr als Passwortzeichen behandelt wird, wenn das Passwort leer ist.

Das Paket sudo-rs – 0.2.8-1ubuntu5.2 enthält alle Patches zum Schließen der Lücken und wird in Ubuntu 25.10 ausgerollt. Anwender dieses Interims-Release sollten das Paket zeitnah aktualisieren.