Вразливості в системі sudo для Linux: важливі оновлення

Практично всі основні дистрибутиви Linux вразливі до кількох багів у системі sudo. Дві вразливості отримали позначення CVE-2025-32462 та CVE-2025-32463. Перша вразливість має низький бал за системою оцінки вразливостей (CVSS) – 2.8, в той час як друга має критичний бал 9.3.

Дослідження вразливостей у системі sudo

Обидві вразливості були виявлені дослідницькою групою з кібербезпеки Stratascale. Повний звіт можна прочитати тут. Один цікавий момент у звіті зазначає, що “CVE-2025-32462 залишалася непоміченою понад 12 років, хоча була в коді з самого початку”.

У звіті йдеться про CVE-2025-32462, де зазначається, що “… це проблема, яка була прихована на видному місці з моменту впровадження опції хоста 12 років тому. Оскільки це вбудована опція, для підвищення привілеїв не потрібен експлуатаційний код.” Далі звіт пояснює, що “однак ця проблема може бути використана лише з певними конфігураціями, використовуючи директиви Host або Host_Alias, які часто застосовуються в корпоративних середовищах”.

Функціонал опції sudo –host

Опція sudo --host дозволяє користувачам переглядати свої правила sudo для певного хоста, а звіт надає деталі про те, як ця функція взаємодіє з вразливостями.

Мітри та оновлення для запобігання вразливостям

Що стосується заходів з пом’якшення вразливостей, то вам потрібно лише підтвердити, що версія sudo на вашій системі не старша за 1.9.17p1. Це можна перевірити за допомогою команди sudo -V. Якщо ваша версія є старшою за 1.9.17p1, терміново оновіть її.

Для отримання додаткової інформації про оновлення відвідайте офіційний сайт Stratascale.