Ubuntu 25.10ではRust製のシステムユーティリティへの移行が進められています。安全で信頼性が高いRustを採用することでシステム全体を強固するための試みですが、今回、その中でも重要なツールsudo-rsに関し、複数の脆弱性が報告されていたことがわかりました(Phoronix)。
"Upstream will release a fix for two moderate vulnerabilities targeting Friday (Nov 7 2025).
The expected coordinated release of this fix is Monday (Nov 10 2025).
One of these vulnerabilities is CVE-2025-64170."
sudoはroot権限でプログラムを実行するためのツールで、従来C言語で実装されています。sudo-rsはこれをRustで再実装するもので、Ubuntu 25.10では、従来のsudoに代わってsudo-rsが採用されました。ただし、現在Ubuntuにおける、sudo-rsの採用は実験的な意味合いが強く、脆弱性の影響が大きければ、26.04 LTSでの採用が再考される可能性もあります。
今回見つかった脆弱性は、限定的なsudo権限しか持たないユーザーが、-Uオプションを使って他ユーザーのsudo権限を列挙できてしまうという問題と、パスワード入力時のタイムアウト処理に不備があり、部分的に入力されたパスワードが標準入力に出力される可能性があるという問題です。
Ubuntu 25.10では、これらの脆弱性に対するパッチがすでに提供されており、sudo-rsパッケージの更新が推奨されています。
まとめ
今回の事例は、Rust製ツールであっても設計や実装の不備があれば脆弱性が発生することを示しています。Ubuntu 26.04 LTSでの本格採用に向けて、Rust製ツールのさらなる検証が求められています。
