背景：

Linux sudo本地提权漏洞 (CVE-2025-32462/CVE-2025-32463) 风险通告

01 漏洞详情

影响组件

Linux 是一种免费开源的类 Unix 操作系统，广泛应用于服务器、嵌入式设备及云计算领域。Sudo 是一款在类 Unix 系统中用于允许授权用户以其他用户（通常是超级用户）的安全权限执行命令的工具，广泛应用于系统管理和运维过程中。它提供了灵活的访问控制机制，允许系统管理员精细地控制哪些用户可以执行哪些命令，以及在何种条件下执行。

漏洞描述

近日，奇安信CERT监测到 Linux sudo修复两个相互关联的本地提权漏洞(CVE-2025-32462、CVE-2025-32463)，Linux sudo host 权限提升漏洞(CVE-2025-32462)源于 sudo 的 -h（--host）选项错误应用远程主机规则到本地，攻击者可绕过权限提升至root并执行任意代码。Linux sudo chroot 权限提升漏洞(CVE-2025-32463)源于本地低权限用户通过特制的恶意 chroot 环境触发动态库加载，从而以 root 权限执行任意代码。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

利用条件

CVE-2025-32462：

1.本地低权限用户。

2.存在基于主机的权限规则 :/etc/sudoers 中定义 Host 或 Host_Alias。

3.知道允许执行命令的远程主机名。

CVE-2025-32463：

本地低权限用户。

02 影响范围

影响版本

CVE-2025-32462：

1.9.0 <= sudo <= 1.9.17

1.8.8 <= sudo <= 1.8.32

CVE-2025-32463：

1.9.14 <= sudo <= 1.9.17

注意：Sudo 的旧版本（当前 <= 1.8.32）不易受到攻击，因为不存在 chroot 功能。

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Linux sudo 本地提权漏洞(CVE-2025-32462、CVE-2025-32463)，截图如下：

图1 Linux sudo host 权限提升漏洞(CVE-2025-32462)复现截图

图2 Linux sudo chroot 权限提升漏洞(CVE-2025-32463)复现截图

04 处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本：

sudo >= 1.9.17p1

解决方法

更新之前：

[zhao@localhost ~]$ sudo --version
Sudo 版本 1.9.5p2
Sudoers 策略插件版本 1.9.5p2
Sudoers 文件语法版本 48
Sudoers I/O plugin version 1.9.5p2
Sudoers audit plugin version 1.9.5p2
[zhao@localhost ~]$

更新：

sudo新版本下载地址：

sudo-1.9.17-2.el8.x86_64.rpm

https://www.ilanzou.com/s/gM8Zh2nk?code=0451

安装：

[root@localhost Downloads]# dnf install ./sudo-1.9.17-2.el8.x86_64.rpm 
上次元数据过期检查：2:32:08 前，执行于 2025年07月06日 星期日 13时45分32秒。
依赖关系解决。
================================================================================
 软件包       架构           版本                    仓库                  大小
================================================================================
升级:
 sudo         x86_64         1.9.17-2.el8            @commandline         3.9 M

事务概要
================================================================================
升级  1 软件包

总计：3.9 M
确定吗？[y/N]： y
下载软件包：
运行事务检查
事务检查成功。
运行事务测试
事务测试成功。
运行事务
  准备中  :                                                                 1/1 
  升级    : sudo-1.9.17-2.el8.x86_64                                        1/2 
  运行脚本: sudo-1.9.17-2.el8.x86_64                                        1/2 
  清理    : sudo-1.9.5p2-1.0.1.an8.1.x86_64                                 2/2 
  运行脚本: sudo-1.9.5p2-1.0.1.an8.1.x86_64                                 2/2 
/sbin/ldconfig: /usr/lib64/llvm15/lib/libclang.so.15 不是符号链接


  验证    : sudo-1.9.17-2.el8.x86_64                                        1/2 
  验证    : sudo-1.9.5p2-1.0.1.an8.1.x86_64                                 2/2 

已升级:
  sudo-1.9.17-2.el8.x86_64                                                      

完毕！
[root@localhost Downloads]

安装后的版本：

[zhao@localhost Downloads]$ sudo --version
Sudo 版本 1.9.17p1
Sudoers 策略插件版本 1.9.17p1
Sudoers 文件语法版本 50
Sudoers I/O plugin version 1.9.17p1
Sudoers audit plugin version 1.9.17p1
[zhao@localhost Downloads]$