近期,TencentOS 安全团队监测到 CVE 官网披露漏洞(CVE-2025-32462、CVE-2025-32463),漏洞受影响组件为 sudo,影响 TencentOS Server 2、TencentOS Server 3、TencentOS Server 4的产品。监测到漏洞情报后,安全团队第一时间对漏洞进行分析和修复。
注意:
若您已使用 TencentOS,建议您及时开展风险自查,如受影响,请及时根据 TencentOS 为用户提供的漏洞修复解决方案进行防护,确保您的系统安全。
1. 漏洞详情
CVE-2025-32462
该漏洞源于 Linux 系统 sudo 组件的配置逻辑缺陷。攻击者可通过构造含通配符或未验证的主机名,在非预期主机上执行命令,绕过 sudoers 文件的主机限制,结合命令执行实现本地提权。
利用条件:
本地攻击者(包括通过 SSH 获得本地 Shell 权限的用户)在系统使用共享 sudoers 配置(LDAP/SSSD)或多主机分发规则时,通过
sudo -h<主机名> 命令绕过当前主机的策略限制,执行未授权的特权操作(例如修改配置或挂载设备),导致服务瘫痪或数据窃取。CVE-2025-32463
该漏洞源于 sudo 因不当实现--chroot(-R)选项引发的高危本地提权漏洞。攻击者可利用该选项指定自定义 chroot 目录,通过操控目录内的
/etc/nsswitch.conf 文件,强制 sudo 加载攻击者控制的共享库,从而以 root 权限执行任意命令。
利用条件:
攻击者通过本地账号在可控目录创建恶意
/etc/nsswitch.conf 文件,利用 sudo -R<目录>触发 chroot 环境加载该配置,使 sudo 以 root 权限加载伪造的 NSS 共享库(例如 libnss *.so),直接获取完整系统控制权。2. 受影响自查指南
自查 CVE-2025-32462:
登录环境并执行以下命令进行检查:
确认 sudo 组件版本
rpm -q sudo # 确认sudo组件版本
受影响组件版本:
TencentOS Server 4:sudo < 1.9.15p5-5.tl4
TencentOS Server 3:sudo < 1.9.5p2-1.tl3.1
TencentOS Server 2:sudo < 1.8.23-10.tl2.3.1
自查 CVE-2025-32463:
1. 确认系统版本
cat /etc/os-release | grep -w VERSION
若 OS 版本为 TencentOS Server 4,则继续排查,TencentOS Server 2/3 不受影响。
2. 确认 sudo 组件版本
rpm -q sudo # 继续确认sudo组件版本
受影响组件版本:TencentOS Server 4:sudo < 1.9.15p5-5.tl4
3. 临时缓解措施
CVE-2025-32462 的缓解措施
该漏洞没有缓释措施,需要升级 sudo 版本解决。
CVE-2025-32463 的缓解措施
该漏洞没有缓释措施,需要升级 sudo 版本解决。
4. 漏洞修复方案
若您的版本在受影响范围内,TencentOS Server 已在第一时间将官方漏洞补丁推送至系统仓库,您可通过升级命令,将组件升级至安全版本,以修复漏洞。
修复指引
CVE-2025-32462 修复方式
系统版本 | 修复方式 |
TencentOS Server 2 | 升级修复,执行命令:
|
TencentOS Server 3.1 | 推荐方案一:先升级至 TencentOS Server 3.3,再更新 sudo 版本。 您也可以参照下述步骤进行: 步骤一: x86环境:依次执行以下命令
ARM 环境:依次执行以下命令
步骤二:升级 sudo 版本,执行命令:
|
| 方案二:直接更新 sudo 版本。 若暂时不考虑升级至 TencentOS Server 3.3,可执行以下命令修复:
|
TencentOS Server 3.3 | 升级修复,执行命令:
|
TencentOS Server 4 | 升级修复,执行命令:
|
CVE-2025-32463 修复方式
系统版本 | 修复方式 |
TencentOS Server 4 | 升级修复,执行命令:
|
修复确认
执行以下命令,查看 sudo 版本,确认是否成功修复。
rpm -qa | grep -E "^sudo-[0-9]"
已修复版本信息如下:
TencentOS Server 2 :sudo-1.8.23-10.tl2.3.1
TencentOS Server 3 :sudo-1.9.5p2-1.tl3.1
TencentOS Server 4 :sudo-1.9.15p5-5.tl4
