漏洞描述
近日,腾讯云安全运营中心监测到,国外安全研究团队披露出两个 Sudo 本地提权漏洞,漏洞编号:CVE-2025-32463、CVE-2025-32462,普通用户可以通过利用此漏洞在主机上获取 root 权限。
CVE-2025-32463,高风险,该漏洞允许本地攻击者通过 -R ( --chroot ) 选项诱骗 Sudo 使用用户指定的根目录加载任意共享库,从而提升权限。攻击者可以在支持
/etc/nsswitch.conf 的系统上以 root 身份运行任意命令,进而控制系统(安装恶意软件、窃取数据、破坏系统完整性)。CVE-2025-32462,中风险,该漏洞允许攻击者在未授权的主机上绕过 sudoers 配置的主机限制规则,越权执行管理员命令(如读写敏感文件、修改系统配置),漏洞利用。
风险等级
指标 | CVE-2025-32463 | CVE-2025-32462 |
CVSS 3.1评分 | 9.3(严重) | 7.0(中危) |
攻击复杂度 | 低(默认配置) | 中(非默认配置) |
核心风险 | 本地用户 -> root 提权 chroot 路径隔离失效导致加载恶意 NSS 库 | 绕过 Sudo 规则限制 符号链接解析漏洞导致执行未授权命令 |
影响范围 | Sudo 1.9.14 – 1.9.17 | Sudo 1.9.15 – 1.9.16 |
受影响环境
1、CVE-2025-32463:
该漏洞在最新的 CentOS/Ubuntu 等主流 Linux 发行版默认配置可被利用。风险级别较高,详细影响版本情况如下:
Ubuntu 24.04 LTS 系列
Debian Trixie(13)
Fedora 41,42
CentOS Stream 10,RHEL 9.4+
2、CVE-2025-32462:
该漏洞利用需要系统非默认配置,依赖于 sudoers 文件中的附加规则。
修复方案
目前 Ubuntu/Debian 官方已发布新版本修复补丁,用户可按照如下方案进行升级修复和验证:
立即升级 Sudo(推荐)
# Ubuntu/Debian 系列用户:sudo apt update && sudo apt install sudo -ydpkg -l sudo# 验证修复(应显示1.9.15p5-3ubuntu5.24.04.1或更高版本)sudo --version
# Fedora/CentOS/RHEL系列用户:sudo dnf update sudo -y# 验证修复(目前官方暂未发布最新补丁,待发布升级到官方最新版本)sudo --version
紧急缓解措施(临时)
注意:
仅适用于无法立即升级的场景,效果有限。
# 移除所有用户的 chroot 权限echo 'Defaults !chroot' | sudo tee /etc/sudoers.d/disable-chrootsudo chmod 440 /etc/sudoers.d/disable-chroot
腾讯云产品解决方案
第三方参考链接
Sudo 维护者公告:Security Advisories | Sudo、Sudo
Ubuntu 公告:CVE-2025-32463 | Ubuntu、CVE-2025-32462 | Ubuntu
