Bản vá lỗ hổng leo thang đặc quyền cục bộ của Sudo (CVE-2025-32462, CVE-2025-32463)

Tổng quan

Gần đây, hai lỗ hổng leo thang đặc quyền cục bộ trong tiện ích Sudo đã được công bố và đã có bản vá.
Các lỗ hổng này có thể cho phép người dùng thông thường giành được quyền root.

• CVE-2025-32462

  • Lỗ hổng leo thang đặc quyền mức độ nghiêm trọng thấp tồn tại trong tùy chọn host của Sudo.
  • Đây là lỗi đã tồn tại trong mã nguồn hơn 12 năm; trong một số cấu hình Sudo cụ thể (và thường gặp), khi quyền bị giới hạn theo tên host, có thể leo thang lên quyền root mà không cần thêm khai thác nào khác.
  • Ảnh hưởng đến Sudo v1.9.0~1.9.17, v1.8.8~1.8.32

• CVE-2025-32463

  • Lỗ hổng nghiêm trọng (Critical) tồn tại trong tùy chọn chroot (-R) của Sudo.
  • Có thể đánh lừa Sudo nạp thư viện dùng chung tùy ý dưới thư mục gốc do người dùng chỉ định.
  • Có thể tấn công bằng tệp /etc/nsswitch.conf (chỉ trên các hệ thống hỗ trợ tệp này).
  • Ảnh hưởng đến Sudo v1.9.14~1.9.17. Các phiên bản legacy (v1.8.x) không bị ảnh hưởng vì không có tính năng này.

Biện pháp ứng phó

• Cập nhật: Khuyến nghị áp dụng bản vá bảo mật mới nhất của Sudo (1.9.17p1 trở lên)
• Biện pháp tạm thời: Kiểm tra tất cả các quy tắc Sudo trong /etc/sudoers và /etc/sudoers.d
  • Nếu các quy tắc Sudo được lưu trong LDAP, hãy dùng công cụ như ldapsearch để kiểm tra quy tắc
  • Trong từng quy tắc, kiểm tra xem có sử dụng tùy chọn runchroot= hoặc chỉ thị CHROOT= hay không
  • Kiểm tra xem có bao gồm tùy chọn Host hoặc Host_Alias hay không.

Khuyến nghị

• Quản trị viên hệ thống và bộ phận an ninh nên cập nhật Sudo lên phiên bản mới nhất ngay lập tức. (Tùy chọn chroot không còn được hỗ trợ từ 1.9.17p1.)
• Kiểm tra log hệ thống để xác định có lịch sử sử dụng Sudo bất thường hay không.