Deux nouvelles failles de sécurité découvertes dans sudo menace, une nouvelle fois, la sécurité des machines Linux. Ce paquet populaire sert à exécuter des commandes en tant qu’utilisateur privilégié, sans se connecter directement en root. Quels sont les risques ? Comment se protéger ? Faisons le point.
Les administrateurs de machines Linux doivent prendre connaissance de l’existence de deux nouvelles vulnérabilités dans sudo : CVE-2025-32462 et CVE-2025-32463. Elles permettent une élévation de privilèges en local, ce qui n’est pas surprenant compte tenu de l’intérêt même de sudo. Rich Mirch, de l’unité de recherche cyber de Stratascale, a mis en lumière ces deux vulnérabilités.
Pour rappel, sudo est installé par défaut sur certaines distributions Linux, tout en étant disponible dans une grande majorité de dépôts.
CVE-2025-32462 : une faille vieille de 12 ans dans sudo
La première faille, associée à la référence CVE-2025-32462, est une vulnérabilité de faible gravité, mais à l’impact majeur. Elle est liée à l’option -h (ou –host) de sudo, conçue pour lister les privilèges d’un utilisateur sur un hôte distant.
“L’option host (-h ou -host) de Sudo est destinée à être utilisée conjointement avec l’option list (-l ou -list) pour lister les privilèges sudo d’un utilisateur sur un hôte autre que l’hôte actuel. Cependant, en raison d’un bogue, cette option n’était pas limitée à la liste des privilèges et pouvait être utilisée lors de l’exécution d’une commande via sudo ou de l’édition d’un fichier avec sudoedit.”, précise le bulletin de sécurité de sudo.
Rich Mirch précise que cette vulnérabilité exploite une configuration spécifique, bien que courante, où les règles sudo sont limitées à des noms d’hôtes ou des modèles de noms d’hôtes. Il est parvenu à exploiter cette vulnérabilité sur Ubuntu 24.04 et macOS Sequoia 15.3.2, où une version vulnérable de sudo était présente. Il est à noter que cette faiblesse était présente dans le code de Sudo depuis plus de 12 ans !
Cette faille affecte les versions stables de sudo (v1.9.0 – 1.9.17) et les versions héritées (v1.8.8 – 1.8.32).
CVE-2025-32463 : une faille critique dans l’option chroot de sudo
La seconde vulnérabilité, CVE-2025-32463, est quant à elle considérée comme critique. Elle est directement liée à l’option –chroot (ou -R) de sudo, qui permet à un utilisateur d’exécuter une commande dans une autre racine.
En exploitant cette vulnérabilité, un attaquant local (sans privilège particulier) peut tromper sudo en lui faisant charger une bibliothèque partagée arbitraire. Cela est rendu possible en créant un fichier /etc/nsswitch.conf sous le répertoire racine spécifié par l’utilisateur. Ainsi, l’attaquant peut faire en sorte que le système charge sa bibliothèque, ce qui va mener à l’exécution de code arbitraire.
Cette vulnérabilité affecte les versions de Sudo de 1.9.14 à 1.9.17. Attention, il est important de préciser que les versions legacy de sudo (inférieures ou égale à la version 1.8.32) ne sont pas vulnérables ! En effet, la fonctionnalité chroot n’y était pas incluse.
“L’option chroot est désormais obsolète depuis la version 1.9.17p1. Il est recommandé d’éviter d’utiliser l’option chroot, car elle pourrait involontairement rendre votre environnement moins sûr si elle n’est pas correctement implémentée.”, précise Rich Mirch dans son rapport.
Les deux vulnérabilités ont été confirmées comme exploitables sur des distributions Linux populaires telles qu’Ubuntu et Fedora, ainsi que sur macOS Sequoia (un système d’exploitation basé sur Unix). La version 1.9.17p1 de Sudo, publiée début juin 2025, corrige ces deux problèmes.
Patchez.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.