Patch für lokale Rechteausweitung in Sudo (CVE-2025-32462, CVE-2025-32463)

Überblick

Kürzlich wurden in dem Dienstprogramm Sudo zwei lokale Schwachstellen zur Rechteausweitung veröffentlicht, für die nun Patches verfügbar sind.
Diese Schwachstellen ermöglichen es normalen Benutzern, Root-Rechte zu erlangen.

• CVE-2025-32462

  • Eine Schwachstelle mit geringer Schwere zur Rechteausweitung in der Host-Option von Sudo.
  • Ein Bug, der seit mehr als 12 Jahren im Code vorhanden ist. Wenn in bestimmten (häufig verwendeten) Sudo-Konfigurationen die Berechtigungen abhängig vom Hostnamen eingeschränkt sind, ist ohne zusätzlichen Exploit eine Ausweitung auf Root-Rechte möglich.
  • Betrifft Sudo v1.9.0~1.9.17, v1.8.8~1.8.32

• CVE-2025-32463

  • Eine kritische Schwachstelle in der chroot-Option (-R) von Sudo.
  • Angreifer können Sudo dazu bringen, unter einem vom Benutzer angegebenen Root-Verzeichnis beliebige Shared Libraries zu laden.
  • Ein Angriff ist über die Datei /etc/nsswitch.conf möglich (nur auf Systemen, die diese Datei unterstützen).
  • Betrifft Sudo v1.9.14~1.9.17. Legacy-Versionen (v1.8.x) sind nicht betroffen, da diese Funktion dort nicht vorhanden ist.

Gegenmaßnahmen

• Update: Es wird empfohlen, den neuesten Sicherheitspatch für Sudo einzuspielen (1.9.17p1 oder neuer)
• Vorläufige Maßnahme: Alle Sudo-Regeln in /etc/sudoers und /etc/sudoers.d prüfen
  • Wenn Sudo-Regeln in LDAP gespeichert sind, die Regeln mit Tools wie ldapsearch prüfen
  • In jeder Regel prüfen, ob die Option runchroot= oder die Direktive CHROOT= verwendet wird
  • Prüfen, ob Host- oder Host_Alias-Optionen enthalten sind.

Empfehlungen

• Systemadministratoren und Sicherheitsverantwortliche sollten Sudo sofort auf die neueste Version aktualisieren. (Die chroot-Option wird seit 1.9.17p1 nicht mehr unterstützt.)
• Systemprotokolle prüfen, um festzustellen, ob es Hinweise auf ungewöhnliche Sudo-Nutzung gibt.