Eh oui. C'est bien pour cela que je ne configure jamais ce truc. C'est une fausse bonne idée puisque sudo permet l'exploitation d'une foultitude de failles qu'il a lui même ouvert. Il y a effectivement la faille apt/dpkg, mais il y a tout un tas de trucs bien plus sournois et difficilement prévisibles.
Un sudoeur un peu futé peut donc créer un paquet au format Debian qui va
modifier /etc/sudoers via ses « scripts du responsable » scripts de
pré/post (dés)-installation, ou lancer toute autre commande de son gré :)
Comme dit la page de manuel en anglais il est difficile d'empêcher un sudoeur
déterminé de lancer la commande qu'il veut en tant qu'administrateur (« There
is no easy way to prevent a user from gaining a root shell if that user is
allowed to run arbitrary commands via sudo »).