- Тодд К. Миллер, мейнтейнер sudo более 30 лет, ищет новых спонсоров для поддержки и развития проекта.
- C окончанием спонсорства Quest Software в феврале 2024 года, Миллер продолжает работать над sudo, выпуская обновления самостоятельно.
- Появление критических уязвимостей и развитие альтернативы sudo-rs на Rust повышают необходимость финансирования и обновления утилиты.
Опытный разработчик Тодд К. Миллер, который поддерживает открытый проект утилиты sudo с 1993 года, обратился за поиском новых спонсоров, необходимых для дальнейшего развития и поддержки данного возглавляемого им решения. Сложившаяся ситуация связана с тем, что компания Quest Software прекратила спонсировать проект в феврале 2024 года, что совпало с уходом Миллера из дочерней организации Quest One Identity.
Утилита sudo представляет собой важный инструмент в экосистемах Unix и Linux, дающий возможность авторизованным пользователям исполнять команды с правами другого пользователя, часто суперпользователя root, согласно строго контролируемым политикам безопасности. Несмотря на поиск спонсоров, обновления и исправления безопасности для sudo продолжают выпускаться, что говорит о продолжающейся работе Миллера над проектом. Так, например, с февраля 2024 года вышло множество патчей, нацеленных на устранение выявленных проблем.
Проект сталкивается с рядом значимых проблем безопасности. В 2021 году была обнаружена уязвимость переполнения буфера кучи, позволяющая локальному пользователю получить права root без соответствующих разрешений. Отмечено, что уязвимость существует уже более десяти лет, что подчеркивает важность постоянного контроля и обновления кода.
Для решения проблем, связанных с безопасностью управления памятью, была разработана новая версия утилиты sudo на языке Rust — sudo-rs. Этот проект, поддерживаемый крупными технологическими компаниями такими как Google, Cisco и Amazon Web Services, стремится снизить риски появления уязвимостей, которые традиционно связаны с небезопасной работой с памятью в C. Уже в выпуске Ubuntu 25.10, планируемом на октябрь 2025 года, sudo-rs назначена в качестве реализации sudo по умолчанию.
В июле 2025 года в стандартной утилите sudo была обнаружена критическая уязвимость CVE-2025-32463, позволяющая непривилегированному пользователю выполнить код с правами root даже при отсутствии разрешений в конфигурации sudoers. Данная ошибка проявляется в конфигурации Linux-дистрибутивов с файлом /etc/nsswitch.conf, включая известные Ubuntu 24.04 и Fedora 41. Уязвимость затрагивает версии sudo с 1.8.33 до 1.9.17 и была устранена только в обновлении 1.9.17p1.
Все эти факты указывают на необходимость финансирования и поддержки со стороны сообщества и организаций. В настоящее время у проекта sudo есть несколько индивидуальных спонсоров на GitHub, однако, судя по отсутствию значительного прироста финансирования, этого недостаточно для полноценного развития и устранения накопившихся проблем. Поиском спонсорской помощи Миллер занимается уже более двух лет, что скорее всего связано с высокой нагрузкой и сложностью поддержания столь критически важного проекта в актуальном состоянии.
