Correctifs des vulnérabilités d’élévation locale de privilèges dans Sudo (CVE-2025-32462, CVE-2025-32463)

 (helpnetsecurity.com)
5 points par hwaan2 2025-07-02 | 1 commentaires | Partager sur WhatsApp

Aperçu

Deux vulnérabilités d’élévation locale de privilèges ont récemment été divulguées dans l’utilitaire Sudo, et des correctifs sont désormais disponibles.
Ces vulnérabilités permettent à un utilisateur non privilégié d’obtenir les droits root.

  • CVE-2025-32462

    • Vulnérabilité d’élévation de privilèges de faible sévérité présente dans l’option host de Sudo.
    • Il s’agit d’un bug présent dans le code depuis plus de 12 ans : dans certaines configurations Sudo spécifiques (et courantes), lorsque les privilèges sont limités en fonction du nom d’hôte, une élévation vers root est possible sans exploit supplémentaire.
    • Affecte Sudo v1.9.0~1.9.17 et v1.8.8~1.8.32

  • CVE-2025-32463

    • Vulnérabilité critique présente dans l’option chroot (-R) de Sudo.
    • Elle permet de tromper Sudo afin qu’il charge une bibliothèque partagée arbitraire sous le répertoire racine spécifié par l’utilisateur.
    • L’attaque peut être menée via le fichier /etc/nsswitch.conf (uniquement sur les systèmes qui prennent en charge ce fichier).
    • Affecte Sudo v1.9.14~1.9.17. Les versions legacy (v1.8.x) ne sont pas concernées, car cette fonctionnalité n’y existe pas.

Mesures de réponse

  • Mise à jour : il est recommandé d’appliquer le dernier correctif de sécurité de Sudo (1.9.17p1 ou version ultérieure)
  • Mesures temporaires : vérifier toutes les règles Sudo dans /etc/sudoers et /etc/sudoers.d
    • Si les règles Sudo sont stockées dans LDAP, les vérifier avec un outil comme ldapsearch
    • Pour chaque règle, vérifier l’utilisation de l’option runchroot= ou de la directive CHROOT=
    • Vérifier si les options Host ou Host_Alias sont présentes.

Recommandations

  • Les administrateurs système et responsables sécurité doivent mettre à jour Sudo vers la dernière version sans délai. (L’option chroot n’est plus prise en charge à partir de la version 1.9.17p1.)
  • Examiner les journaux système afin de détecter tout historique anormal d’utilisation de Sudo.

À lire aussi

1 commentaires

 
techiemann 2025-07-04

Sur tous les systèmes où Sudo tourne, je le retire complètement et je configure doas pour qu’il fonctionne à la place de sudo via un alias ; j’ai entendu dire que cette solution avait davantage d’avantages en matière de sécurité.