Милиони Линукс и Јуникс система су били изложени озбиљним безбедносним ризицима због појаве две рањивости у Судоу, основни алат који омогућава корисницима да извршавају команде са повећаним дозволама на контролисан начин. Ови недостаци, идентификовани као ЦВЕ-КСНУМКС-КСНУМКС y ЦВЕ-КСНУМКС-КСНУМКС, недавно су анализирали и објавили стручњаци за сајбер безбедност, упозоравајући на њихов утицај и хитну потребу за применом закрпа.
Откриће је упозорило систем администраторе и компаније, јер је Sudo подразумевано присутан у већини ГНУ/Линукс дистрибуција и сличних система, као што је macOS. Обе грешке омогућавају ескалацију привилегија са налога без администраторских дозвола, угрожавајући интегритет погођених рачунара.
Шта је Судо и зашто је толико важан?
Судо је неопходан услужни програм у Јуникс окружењима, користи се за покретање административних задатака без потребе за пријављивањем као rootОвај алат пружа детаљну контролу над тим који корисници могу да извршавају одређене команде, помажући у одржавању принципа најмањих привилегија и евидентирајући све акције у сврху ревизије.
Конфигурација Sudo-а се управља из датотеке / етц / судоерс, што вам омогућава да дефинишете одређена правила на основу корисника, команде или хоста, што је уобичајена пракса за јачање безбедности у великим инфраструктурама.
Технички детаљи Sudo рањивости
CVE-2025-32462: Грешка у опцији хоста
Ова рањивост је била скривена у Судовом коду више од деценије., што утиче на стабилне верзије од 1.9.0 до 1.9.17 и старије верзије од 1.8.8 до 1.8.32. Његово порекло лежи у опцији -h o --host, који је у почетку требало би да буде ограничено на навођење привилегија за друге рачунаре Међутим, због квара у контроли, може се користити за извршавање команди или уређивање датотека као root на самом систему.
Вектор напада користи специфичне конфигурације где су Sudo правила ограничена на одређене хостове или обрасце имена хоста.Дакле, локални корисник може преварити систем претварајући се да извршава команде на другом овлашћеном хосту и добије root приступ. без потребе за сложеним експлоатацијом.
Искоришћавање ове грешке је посебно забрињавајуће у пословним окружењима, где се директиве Host или Host_Alias често користе за сегментирање приступа. Није потребан додатни експлоатациони код, само позовите Sudo са опцијом -h и домаћину коме је дозвољено да заобиђе ограничења.
CVE-2025-32463: Злоупотреба Chroot функције
У случају CVE-2025-32463, озбиљност је већаГрешка уведена у верзији 1.9.14 из 2023. у функцији chroot омогућава било ком локалном кориснику да извршава произвољни код са путања под својом контролом, добијајући администраторске привилегије.
Напад се заснива на манипулацији системом Name Service Switch (NSS). Покретањем Sudo-а са опцијом -R (chroot) и постави директоријум којим управља нападач као root, Sudo учитава конфигурације и библиотеке из овог манипулисаног окружења. Нападач може присилно учитати злонамерну дељену библиотеку (на пример, кроз /etc/nsswitch.conf (лажна и библиотека припремљена у chroot root-у) да би се добила root љуска на систему. Постојање ове грешке је потврђено у неколико дистрибуција, па је препоручљиво бити у току са најновијим ажурирањима.
Једноставност ове технике је потврђена у реалним сценаријима, користећи само C компајлер за креирање библиотеке и покретање одговарајуће команде помоћу Sudo-а. Није потребна техничка софистицираност или компликоване конфигурације.
Ове две рањивости су потврђене у новијим верзијама Ubuntu-а, Fedora-е и macOS Sequoia-е, мада и друге дистрибуције могу бити погођене. За већу заштиту, неопходно је применити ажурирања која препоручују програмери.
Шта администратори и корисници треба да ураде
Једина ефикасна мера је ажурирање Судо-а на верзију 1.9.17p1 или новију, јер су у овом издању програмери решили оба проблема: Опција хоста је ограничена на легитимну употребу, а функција chroot је добила измене у путањи и управљању библиотекама.Главне дистрибуције, као што су Ubuntu, Debian, SUSE и Red Hat, већ су објавиле одговарајуће закрпе, а њихови репозиторијуми имају безбедне верзије.
Стручњаци за безбедност такође препоручују ревидирати датотеке /etc/sudoers y /etc/sudoers.d да се лоцирају могуће употребе директива Host или Host_Alias и да се провери да ли постоје правила која дозвољавају искоришћавање грешке.
Не постоје ефикасна алтернативна решења. Ако не можете одмах да ажурирате, препоручује се пажљиво праћење приступа и административних ограничења, иако је ризик од изложености и даље висок. Да бисте сазнали више о мерама и препорукама, погледајте овај водич о безбедносна ажурирања у Линуксу.
Овај инцидент наглашава важност редовних безбедносних провера и ажурирања основних компоненти попут Судоа. Постојање скривених недостатака дуже од деценије у тако широко распрострањеном алату је оштар подсетник на опасности слепог ослањања на инфраструктурне алате без сталног прегледа.
Откривање ових рањивости у Суду наглашава важност проактивних стратегија закрпљивања и ревизије. Администратори и организације треба да прегледају своје системе, примене доступне закрпке и остану будни због будућих проблема који утичу на критичне компоненте оперативног система.
