Вразливості sudo для Linux: важливі оновлення
Вразливості в системі sudo для Linux: важливі оновлення
Практично всі основні дистрибутиви Linux вразливі до кількох багів у системі sudo. Дві вразливості отримали позначення CVE-2025-32462 та CVE-2025-32463. Перша вразливість має низький бал за системою оцінки вразливостей (CVSS) – 2.8, в той час як друга має критичний бал 9.3.
Дослідження вразливостей у системі sudo
Обидві вразливості були виявлені дослідницькою групою з кібербезпеки Stratascale. Повний звіт можна прочитати тут. Один цікавий момент у звіті зазначає, що “CVE-2025-32462 залишалася непоміченою понад 12 років, хоча була в коді з самого початку”.
У звіті йдеться про CVE-2025-32462, де зазначається, що “… це проблема, яка була прихована на видному місці з моменту впровадження опції хоста 12 років тому. Оскільки це вбудована опція, для підвищення привілеїв не потрібен експлуатаційний код.” Далі звіт пояснює, що “однак ця проблема може бути використана лише з певними конфігураціями, використовуючи директиви Host або Host_Alias, які часто застосовуються в корпоративних середовищах”.
Функціонал опції sudo –host
Опція sudo --host
дозволяє користувачам переглядати свої правила sudo для певного хоста, а звіт надає деталі про те, як ця функція взаємодіє з вразливостями.
Мітри та оновлення для запобігання вразливостям
Що стосується заходів з пом’якшення вразливостей, то вам потрібно лише підтвердити, що версія sudo на вашій системі не старша за 1.9.17p1. Це можна перевірити за допомогою команди sudo -V
. Якщо ваша версія є старшою за 1.9.17p1, терміново оновіть її.
Для отримання додаткової інформації про оновлення відвідайте офіційний сайт Stratascale.