sudoのメイン開発者であるTodd Millerは2月5日，pwfeedbackオプションが有効な場合にバッファオーバーフローを引き起こす可能性のあるバグが2009年のバージョン1.7.1より存在しており，1月31日にリリースした「sudo 1.8.31」においてその修正を含むアップデートを行ったことを明らかにした。

Buffer overflow when pwfeedback is set in sudoers

この脆弱性は「CVE-2019-18634」として2019年10月にAppleのJoe Vennixにより最初に報告され，以後，追跡が行われてきた。Millerによれば，sudo 1.7.1からsudo 1.8.30までのバージョンがこの脆弱性の影響を受け，とくにsudo 1.26以前のバージョンを使っている場合は注意が必要だが，pwfeedbackオプションを有効にしていなければ影響はない。ただし，Linux Mintやelementary OSなど一部のディストリビューションではsudoersフィルでpwfeedbackがデフォルトで有効にされており，悪用される可能性が高くなっている。

当該のsudoバージョンでpwfeedbackオプションが有効になっていると，攻撃者はsudoパーミッションを要求しなくても，この脆弱性を悪用してパスワード入力時に大きなデータを渡し，バッファオーバーフローを再現することが可能になる。

sudo 1.7.1がリリースされたのは2009年4月であるため，約10年にわたってこの脆弱性が存在していたことになる。

すでに修正済みのバージョンが1.8.31としてリリースされているが，まずはpwfeedbackオプションの有効/無効を確認することが推奨される。