CVE-2025-32463

Sudo Sudo

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-09-29

Официальное описание

Sudo contains an inclusion of functionality from untrusted control sphere vulnerability. This vulnerability could allow local attacker to leverage sudo’s -R (--chroot) option to run arbitrary commands as root, even if they are not listed in the sudoers file.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-32463 в утилите Sudo связана с небезопасной обработкой функционала смены корневого каталога при использовании флагов -R или --chroot.

Локальный злоумышленник, имеющий минимальные права на использование sudo, может указать подконтрольную ему директорию в качестве нового корневого каталога. Внутри этой директории атакующий может разместить вредоносные разделяемые библиотеки (shared libraries) или поддельные бинарные файлы. При выполнении разрешенной команды через sudo в этом подконтрольном окружении, утилита загрузит вредоносный код атакующего. Это приводит к эскалации привилегий и выполнению произвольных команд с правами root, полностью обходя ограничения, заданные администратором в файле sudoers.

Как исправить

Единственным надежным способом устранения уязвимости является обновление пакета sudo до актуальной версии, содержащей патч от разработчиков вашего дистрибутива.

Для систем на базе Debian/Ubuntu:

apt-get update && apt-get install --only-upgrade sudo

Для систем на базе RHEL/CentOS/AlmaLinux/Rocky:

dnf update sudo

Для систем на базе Alpine Linux:

apk add --upgrade sudo

Для систем на базе Arch Linux:

pacman -Sy sudo

После обновления рекомендуется перезапустить активные сессии или убедиться, что версия успешно обновлена:

sudo --version

Временные меры

Если оперативное обновление пакета невозможно, необходимо применить компенсирующие меры для снижения риска эксплуатации:

  1. Проведите аудит конфигурации sudoers и убедитесь, что ни одному пользователю или группе не выданы права с использованием тега CHROOT. Для поиска выполните команду:
grep -rnw '/etc/sudoers' '/etc/sudoers.d/' -e 'CHROOT'
  1. Если тег CHROOT найден, немедленно удалите его из конфигурационных файлов с помощью безопасного редактора:
visudo
  1. Настройте правила подсистемы auditd для мониторинга и алертинга на попытки использования флагов -R или --chroot при вызове sudo. Добавьте правило для отслеживания запуска утилиты:
auditctl -w /usr/bin/sudo -p x -k sudo_chroot_monitor

  1. В SIEM-системе или системе логирования настройте триггер на появление в логах /var/log/auth.log или /var/log/secure событий запуска sudo с аргументами -R или --chroot.

  2. Максимально ограничьте список пользователей, состоящих в группах sudo или wheel, оставив доступ только доверенным администраторам.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей