Hallo Dr. Tux,
ja, genau das ist einer meiner persönlichen Kritikpunkte was Debian, Ubuntu und alle ihre Abkömmlinge angeht.
Die nach Medienberichten und laut der Entwickler sichere Version ist:
1.8.31
Debian liefert ein Update auf
1.8.19p1-2.1+deb9u2
ohne bei Debian in den Webseiten zu graben findet man nicht raus, ob da jetzt der Patch drin ist, oder nicht. Und ob der Patch für CVE XYZ jetzt berücksichtigt ist oder nicht gerät manchmal als Einzeiler im Freitext ohne Referenz zu einem CVE in die Release Notes. Dann guckt man nur dumm aus der Wäsche und hat das Prinzip Hoffning - es korreliert zeitlich, wird schon drin sein...
Oder man gräbt sich durch den Source Code. Aber das wird halt alles immer aufwändiger - Und sudo ist ja nicht das einzige Softwarepacket einer Distribution.
Bei den rolling release Distributionen fällt einfach die 1.8.31 als Update in den Rechner und man kann die Versionsnummern einfach vergleichen, ohne weitere Dokumentation bemühen zu müssen.
Gefixed und Fertig.
Liebe Grüße,
Klaren