Две опасные уязвимости в утилите sudo, ключевом инструменте управления привилегиями Linux и Unix-подобных систем, позволяют локальным пользователям получить несанкционированный доступ к учетной записи root. Обе проблемы затрагивают версии sudo до 1.9.17p1, а исправления выпущены лишь в конце прошлого месяца.
CVE-2025-32462: Ошибка управления хостами
С оценкой CVSS 2.8 (низкий риск) эта уязвимость существует с сентября 2013 года. Она активируется при использовании опции
CVE-2025-32463: Путь к root через chroot
Оценка CVSS 9.3 (критично!) делает эту брешь крайне опасной. Она связана с опцией
Роль sudo и масштаб угрозы
Sudo — критически важный инструмент, контролируемый файлом
Как закрыть бреши
Все исправления содержатся в sudo 1.9.17p1. Владельцам затронутых дистрибутивов необходимо немедленно установить обновления через официальные репозитории. Rich Mirch из Stratascale, обнаруживший обе уязвимости, подчеркивает, что эксплуатация CVE-2025-32463 дает полный контроль над системой. Мониторинг активности локальных пользователей и аудит подозрительных вызовов sudo с опцией
Изображение носит иллюстративный характер
CVE-2025-32462: Ошибка управления хостами
С оценкой CVSS 2.8 (низкий риск) эта уязвимость существует с сентября 2013 года. Она активируется при использовании опции
-h (host) и затрагивает конфигурации, где файл sudoers распространяется на несколько машин или использует LDAP/SSSD. Если sudoers разрешает команды для удаленного хоста (не ALL), злоумышленник может выполнить их локально, указав этот хост через -h. Риск выше в системах с общими sudoers-файлами. Под угрозой: AlmaLinux 8/9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE, Ubuntu. CVE-2025-32463: Путь к root через chroot
Оценка CVSS 9.3 (критично!) делает эту брешь крайне опасной. Она связана с опцией
-R (--chroot). Злоумышленник создает поддельный файл /etc/nsswitch.conf в контролируемой им директории, указывает ее через -R, и sudo загружает вредоносную библиотеку. Это позволяет выполнить любую команду от root, даже если sudoers явно запрещает это. Эксплуатация возможна любым локальным пользователем в стандартной конфигурации. Тодд Миллер, сопровождающий sudo, заявил: «Поддержка пользовательского корневого каталога чревата ошибками». Опция -R будет полностью удалена в будущих версиях. Уязвимы: Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE, Ubuntu. Роль sudo и масштаб угрозы
Sudo — критически важный инструмент, контролируемый файлом
/etc/sudoers. Он определяет, кто, какие команды и на каких машинах может выполнять с повышенными привилегиями. Уязвимость CVE-2025-32463 особенно страшна, поскольку работает «из коробки», не требуя сложных настроек. Как закрыть бреши
Все исправления содержатся в sudo 1.9.17p1. Владельцам затронутых дистрибутивов необходимо немедленно установить обновления через официальные репозитории. Rich Mirch из Stratascale, обнаруживший обе уязвимости, подчеркивает, что эксплуатация CVE-2025-32463 дает полный контроль над системой. Мониторинг активности локальных пользователей и аудит подозрительных вызовов sudo с опцией
-R — дополнительные меры защиты.
