Berjuta-juta sistem Linux dan Unix telah terdedah kepada risiko keselamatan yang serius akibat kemunculan dua kelemahan dalam Sudo, alat asas yang membolehkan pengguna melaksanakan arahan dengan kebenaran yang dinaikkan secara terkawal. Kelemahan ini, dikenal pasti sebagai CVE-2025 32462- y CVE-2025 32463-, baru-baru ini telah dianalisis dan dilaporkan oleh pakar keselamatan siber, memberi amaran tentang kesannya dan keperluan mendesak untuk menggunakan tampung.
Penemuan itu telah meletakkan pentadbir sistem dan syarikat berjaga-jaga, kerana Sudo hadir secara lalai dalam kebanyakan pengedaran GNU/Linux dan sistem yang serupa, seperti macOS. Kedua-dua pepijat membenarkan peningkatan keistimewaan daripada akaun tanpa kebenaran pentadbiran, menjejaskan integriti komputer yang terjejas.
Apakah Sudo dan mengapa ia sangat penting?
Sudo ialah utiliti penting dalam persekitaran Unix, digunakan untuk menjalankan tugas pentadbiran tanpa perlu log masuk sebagai rootAlat ini menyediakan kawalan terperinci ke atas pengguna yang boleh melaksanakan arahan tertentu, membantu mengekalkan prinsip keistimewaan paling rendah dan mengelog semua tindakan untuk tujuan pengauditan.
Konfigurasi Sudo diuruskan daripada fail / etc / sudoers, membolehkan anda mentakrifkan peraturan khusus berdasarkan pengguna, arahan atau hos, amalan biasa untuk mengukuhkan keselamatan dalam infrastruktur besar.
Butiran Teknikal Kerentanan Sudo
CVE-2025-32462: Kegagalan pilihan hos
Kerentanan ini telah disembunyikan dalam kod Sudo selama lebih sedekad., menjejaskan versi stabil daripada 1.9.0 hingga 1.9.17 dan versi lama daripada 1.8.8 hingga 1.8.32. Asalnya terletak pada pilihan -h o --host, yang pada mulanya hendaklah dihadkan kepada keistimewaan penyenaraian untuk komputer lain Walau bagaimanapun, disebabkan kegagalan kawalan, ia boleh digunakan untuk melaksanakan arahan atau mengedit fail sebagai akar pada sistem itu sendiri.
Vektor serangan memanfaatkan konfigurasi khusus di mana peraturan Sudo dihadkan kepada hos atau corak nama hos tertentu.. Oleh itu, pengguna tempatan boleh menipu sistem dengan berpura-pura melaksanakan arahan pada hos lain yang dibenarkan dan mendapatkan akses root. tanpa memerlukan eksploitasi yang kompleks.
Eksploitasi pepijat ini amat membimbangkan dalam persekitaran perusahaan, di mana arahan Hos atau Host_Alias biasanya digunakan untuk membahagikan akses. Tiada kod eksploit tambahan diperlukan, cuma gunakan Sudo dengan pilihan -h dan hos dibenarkan memintas sekatan.
CVE-2025-32463: Penyalahgunaan fungsi Chroot
Dalam kes CVE-2025-32463, keterukan lebih besar: Kepincangan yang diperkenalkan dalam versi 1.9.14 2023 dalam fungsi chroot membolehkan mana-mana pengguna tempatan melaksanakan kod sewenang-wenangnya daripada laluan di bawah kawalan mereka, memperoleh keistimewaan pentadbir.
Serangan itu berdasarkan manipulasi sistem Name Service Switch (NSS). Dengan menjalankan Sudo dengan pilihan -R (chroot) dan tetapkan direktori yang dikawal oleh penyerang sebagai root, Sudo memuatkan konfigurasi dan perpustakaan daripada persekitaran yang dimanipulasi ini. Penyerang boleh memaksa memuatkan perpustakaan kongsi yang berniat jahat (contohnya, melalui /etc/nsswitch.conf (yang palsu dan perpustakaan yang disediakan dalam akar chroot) untuk mendapatkan cangkerang akar pada sistem. Kewujudan kecacatan ini telah disahkan dalam beberapa pengedaran, jadi dinasihatkan untuk sentiasa mengikuti perkembangan terkini.
Kesederhanaan teknik ini telah disahkan dalam senario dunia sebenar, hanya menggunakan pengkompil C untuk mencipta perpustakaan dan melancarkan arahan yang sesuai dengan Sudo. Tiada kecanggihan teknikal atau konfigurasi yang rumit diperlukan.
Kedua-dua kelemahan ini telah disahkan dalam versi terkini Ubuntu, Fedora dan macOS Sequoia, walaupun pengedaran lain mungkin turut terjejas. Untuk perlindungan yang lebih besar, adalah penting untuk menggunakan kemas kini yang disyorkan oleh pembangun.
Perkara yang harus dilakukan oleh pentadbir dan pengguna
Satu-satunya langkah yang berkesan ialah mengemas kini Sudo kepada versi 1.9.17p1 atau lebih baru, seperti dalam keluaran ini pembangun telah membetulkan kedua-dua isu: Pilihan hos telah dihadkan kepada penggunaan yang sah dan fungsi chroot telah menerima perubahan pada laluan dan pengurusan perpustakaannya.Pengedaran utama, seperti Ubuntu, Debian, SUSE, dan Red Hat, telah mengeluarkan patch yang sepadan, dan repositori mereka mempunyai versi selamat.
Pakar keselamatan juga mengesyorkan mengaudit fail /etc/sudoers y /etc/sudoers.d untuk mencari kemungkinan penggunaan arahan Hos atau Host_Alias dan untuk memastikan tiada peraturan yang membenarkan pepijat dieksploitasi.
Tiada penyelesaian alternatif yang berkesan. Jika anda tidak dapat mengemas kini dengan segera, adalah disyorkan untuk memantau dengan teliti sekatan akses dan pentadbiran, walaupun risiko pendedahan kekal tinggi. Untuk mengetahui lebih lanjut tentang langkah dan pengesyoran, lihat panduan ini mengenai kemas kini keselamatan dalam Linux.
Insiden ini menekankan kepentingan pemeriksaan keselamatan yang kerap dan memastikan komponen penting seperti Sudo dikemas kini. Kewujudan kelemahan tersembunyi selama lebih sedekad dalam utiliti yang begitu meluas adalah peringatan yang jelas tentang bahaya bergantung secara membuta tuli pada alat infrastruktur tanpa semakan berterusan.
Pengesanan kelemahan ini dalam Sudo menekankan kepentingan tampalan proaktif dan strategi pengauditan. Pentadbir dan organisasi harus menyemak sistem mereka, menggunakan tampung yang tersedia dan sentiasa berwaspada untuk isu masa depan yang mempengaruhi komponen sistem pengendalian kritikal.
