腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Linux Sudo 本地权限提升漏洞风险通告(CVE-2025-32462, CVE-2025-32463)
尊敬的腾讯云用户,您好!
腾讯云安全中心监测到, Linux Sudo 被披露其存在本地权限提升漏洞,漏洞编号分别为CVE-2025-32462, CVE-2025-32463。可导致普通用户提升权限至 root 权限等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Sudo 是 Linux 系统管理指令,是允许系统管理员让普通用户执行一些或者全部的 root 命令的一个工具,如 halt,reboot,su 等。
CVE-2025-32462:
据官方描述,在 Sudo 1.8.8 至 1.9.17 的版本中,由于 -h(--host)选项未严格限制必须与 -l(--list)选项配合使用,导致攻击者可通过伪造主机名参数(如 sudo -h 授权主机名 id),绕过 sudoers 文件中的主机访问控制规则,在非授权主机上以 root 权限执行任意命令。
注:该漏洞有较多条件限制,要成功利用该漏洞,攻击者需要在 sudoers 中有任意主机的授权。
CVE-2025-32463:
据官方描述,在 Sudo 1.9.14 至 1.9.17 的版本中,由于 -R(--chroot)选项在权限检查前提前解析用户指定的根目录,导致攻击者可构造恶意目录(内含伪造的 /etc/nsswitch.conf 文件),诱使 Sudo 在验证 sudoers 权限前加载恶意动态库(如劫持 libnss_*.so),从而完全绕过权限限制,直接以 root 权限执行任意命令等。
风险等级
高风险
漏洞风险
普通用户利用该漏洞可提升权限至 root 权限等危害。
影响版本
CVE-2025-32462:
1.8.8 <= Sudo <= 1.9.17
TencentOS Server 4:sudo < 1.9.15p5-5.tl4
TencentOS Server 3:sudo < 1.9.5p2-1.tl3.1
TencentOS Server 2:sudo < 1.8.23-10.tl2.3.1
CVE-2025-32463:
1.9.14 <= Sudo <= 1.9.17
各Linux发行版受影响情况:
Ubuntu 24.04 LTS系列:默认受影响
Debian Trixie (13):默认受影响
Fedora 41, 42:默认受影响
CentOS Stream 10, RHEL 9.4+:默认受影响
TencentOS Server 4:sudo < 1.9.15p5-5.tl4
安全版本
Sudo >= 1.9.17p1
TencentOS Server 4:sudo >= 1.9.15p5-5.tl4
TencentOS Server 3:sudo >= 1.9.5p2-1.tl3.1
TencentOS Server 2:sudo >= 1.8.23-10.tl2.3.1
检测方法
针对 TencentOS Server 的检测方法:
1. CVE-2025-32462 漏洞的检测:
登录环境并执行以下命令进行检查:
rpm -q sudo # 确认sudo组件版本
2. CVE-2025-32463 漏洞的检测:
(1) 确认系统版本
cat /etc/os-release | grep -w VERSION
若 OS 版本为 TencentOS Server 4,则继续排查,TencentOS Server 2/3 不受影响。
(2) 确认 sudo 组件版本
rpm -q sudo # 继续确认sudo组件版本
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
https://www.sudo.ws/releases/stable/
(1) # Ubuntu/Debian 系列用户:
sudo apt update && sudo apt install sudo -y
dpkg -l sudo
# 验证修复:检查 sudo 版本是否为:1.9.15p5-3ubuntu5.24.04.1 或更高版本
(2) # Fedora/CentOS/RHEL 系列用户:
sudo dnf update sudo -y
sudo --version
# 验证修复(目前官方暂未发布最新补丁,待发布后升级到官方最新版本)
相关版本详见 Redhat 官方公告:https://access.redhat.com/security/cve/CVE-2025-32463
2. 针对 TencentOS Server,yum 源已在第一时间合入了官方漏洞补丁的包并推送至系统仓库,建议受影响用户升级至安全版本
(1) 针对 CVE-2025-32462 漏洞的修复方案:
<1> 适用于 TencentOS Server 2,可执行以下命令修复:
yum update sudo;
<2> 适用于 TencentOS Server 3.1 修复:
推荐方案一:先升级至 TencentOS Server 3.3,再更新 sudo 版本。
为持续提升产品体验、功能优化,推荐您先升级至 TencentOS Server 3.3 版本,再进行漏洞修复。可参照下述步骤进行:
步骤一:
x86 环境:依次执行以下命令:
wget https://mirrors.tencent.com/tlinux/3.3/BaseOS/x86_64/os/Packages/tencentos-release-3.3-7.tl3.x86_64.rpm
rpm -Uvh tencentos-release-3.3-7.tl3.x86_64.rpm
ARM 环境:依次执行以下命令:
wget https://mirrors.tencent.com/tlinux/3.3/BaseOS/aarch64/os/Packages/tencentos-release-3.3-7.tl3.aarch64.rpm
rpm -Uvh tencentos-release-3.3-7.tl3.aarch64.rpm
步骤二:
升级 sudo 版本,执行命令:
yum update sudo;
方案二:直接更新 sudo 版本。
若暂时不考虑升级至 TencentOS Server 3.3,可执行以下命令修复:
yum update sudo;
<3> 适用于 TencentOS Server 3.3,可执行以下命令修复:
yum update sudo;
<4> 适用于 TencentOS Server 4,可执行以下命令修复:
dnf update sudo;
(2) 针对 CVE-2025-32463 漏洞的修复方案:
适用于 TencentOS Server 4,可执行以下命令修复:
dnf update sudo;
(3) 修复后验证:
执行以下命令,查看 sudo 版本,确认是否成功修复。
rpm -qa | grep -E "^sudo-[0-9]"
已修复版本信息如下:
TencentOS Server 2:sudo-1.8.23-10.tl2.3.1
TencentOS Server 3:sudo-1.9.5p2-1.tl3.1
TencentOS Server 4:sudo-1.9.15p5-5.tl4
3. 缓解措施:仅适用于无法立即升级的场景,效果有限(注:不适用于 TencentOS Server,针对 TencentOS Server,需要升级 sudo 版本解决)
# 移除所有用户的 chroot 权限
echo 'Defaults !chroot' | sudo tee /etc/sudoers.d/disable-chroot
sudo chmod 440 /etc/sudoers.d/disable-chroot
漏洞参考
