概要
近日,Linux sudo 官方修复了两个本地权限提升漏洞(CVE-2025-32462、CVE-2025-32463)。攻击者可利用这些漏洞将普通用户权限提升至 root 权限。目前漏洞的 PoC/EXP 已被公开,风险较高,请相关用户高度关注。
CVE-2025-32462 主要由于 sudo -h(–host)选项存在设计缺陷。该选项本用于配合 -l(–list)命令查询其它主机上的 sudo 权限,但系统未将其严格限制在查询场景,攻击者可借此配合执行命令或利用 sudoedit 编辑文件,从而实现本地权限提升。
CVE-2025-32463 则源于 sudo 配置未对 chroot() 的使用进行限制。攻击者可在其可写且不受信任的路径下调用 chroot(),诱使系统在受控路径下加载动态库,最终以 root 权限执行任意代码。
sudo 是类 Unix 系统中广泛应用的权限管理工具,允许授权用户以其他用户(通常为超级用户)身份安全运行命令,并提供精细的访问控制能力。木子提醒广大 sudo 用户及时进行自查,尽快升级相关组件,并采取加固措施,防止风险发生。
参考链接:
https://www.sudo.ws/security/advisories/host_any
https://www.sudo.ws/security/advisories/chroot_bug
威胁级别
威胁级别:严重
说明:威胁级别共四级:一般、重要、严重、紧急
漏洞影响范围
影响版本:
CVE-2025-32462:
1.9.0 <= sudo <= 1.9.17
1.8.8 <= sudo <= 1.8.32
CVE-2025-32463:
1.9.14 <= sudo <= 1.9.17
注意:旧版本的 sudo(当前 <= 1.8.32)不易受到攻击,因为不存在 chroot 功能。
安全版本:sudo >= 1.9.17p1
简单理解,从 CentOS 7 至 Rocky Linux 9 都要升级。
漏洞处理
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本,提供两个包下载地址:
https://www.sudo.ws/getting/packages/
https://github.com/sudo-project/sudo/releases
木子特别查阅了 Rocky Linux 官方勘误表,目前尚未单独发布针对上述安全漏洞的修复更新。建议用户可直接采用 sudo 官方发布的更新包进行修复。
CentOS 7
[root@demo-001 ~]# dnf install https://github.com/sudo-project/sudo/releases/download/v1.9.17p1/sudo-1.9.17-2.el7.x86_64.rpm
[root@demo-001 ~]# rpm -qa | grep sudo
sudo-1.9.17-2.el7.x86_64Rocky Linux 8
[root@demo-001 ~]# dnf install https://github.com/sudo-project/sudo/releases/download/v1.9.17p1/sudo-1.9.17-2.el8.x86_64.rpm
[root@demo-001 ~]# rpm -qa | grep sudo
sudo-1.9.17-2.el8.x86_64Rocky Linux 9
[root@demo-001 ~]# dnf install https://github.com/sudo-project/sudo/releases/download/v1.9.17p1/sudo-1.9.17-2.el9.x86_64.rpm
[root@demo-001 ~]# rpm -qa | grep sudo
sudo-1.9.17-2.el9.x86_64
