Hackerparagraph,IT-Security, Linux  Bild © DALL-EHackerparagraph,IT-Security, Linux (Bild © DALL-E)

Der von Sicherheitsanalysten von Stratascale entdeckte Bug stammt aus einer Schwachstelle in der chroot-Implementierung von sudo, die Mitte 2023 eingeführt wurde. Die Schwachstelle (CVE-2025-32463) ermöglicht es Angreifern mit grundlegenden Benutzerrechten, das System so zu manipulieren, dass es beliebigen Code mit Root-Rechten ausführt. Den Forschern zufolge erfordert die Ausnutzung keine spezielle Konfiguration oder erweiterte Berechtigungen, und die Komplexität des Angriffs bleibt gering.

Nicht privilegierte Benutzer, ruft chroot() auf einem beschreibbaren Pfad auf, den er kontrolliert. Durch die Bereitstellung einer benutzerdefinierten nsswitch.conf-Datei innerhalb dieser chroot-Umgebung können Angreifer sudo anweisen, ein Schadcode Shared Object zu laden und auszuführen. Die Schwachstelle wurde erfolgreich unter Ubuntu 24.04.1 und Fedora 41 demonstriert, aber der Angriffsvektor erstreckt sich wahrscheinlich auf eine Vielzahl von Distributionen, die betroffene Versionen von sudo verwenden.

Auf die folgenden Ubuntu Package Versionen sollte aktualisiert werden:

  • 25.04 plucky: sudo – 1.9.16p2-1ubuntu1.1 , sudo-ldap – 1.9.16p2-1ubuntu1.1
  • 24.10 oracular: sudo – 1.9.15p5-3ubuntu5.24.10.1, sudo-ldap – 1.9.15p5-3ubuntu5.24.10.1
  • 24.04 noble: sudo – 1.9.15p5-3ubuntu5.24.04.1, sudo-ldap – 1.9.15p5-3ubuntu5.24.04.1
  • 22.04 jammy: sudo – 1.9.9-1ubuntu2.5, sudo-ldap – 1.9.9-1ubuntu2.5

Die Sudo-Maintainer haben einen Patch mit der Version 1.9.17p1 veröffentlicht, der die in Version 1.9.14 eingeführten Änderungen, die das anfällige Verhalten ermöglichten, rückgängig macht. Der Patch wurde am 28. Juni 2025 veröffentlicht und die Distributions-Maintainer haben bereits damit begonnen, Sicherheitshinweise herauszugeben. Benutzern wird dringend empfohlen, zu überprüfen, ob auf ihren Systemen eine anfällige Version läuft, und verfügbare Updates so schnell wie möglich zu installieren.

Mit dem folgenden Befehl kann man die installierte Version von sudo prüfen:

sudo -V

Als Reaktion auf die Entdeckung wurde die chroot-Funktion nun von den Upstream-Entwicklern als veraltet eingestuft und wird voraussichtlich in zukünftigen Versionen von sudo vollständig entfernt werden. Die Funktionalität wurde als fehleranfällig angesehen und hatte nur begrenzte praktische Verwendung. Ältere Versionen bis 1.8.32 sind davon nicht betroffen, da sie vor der Einführung der Funktion chroot() veröffentlicht wurden.

Diese Schwachstelle unterstreicht die Bedeutung von zeitnahen Patches und zeigt, wie scheinbar unbedeutende Funktionen in Kernprogrammen zu ernsthaften Sicherheitsrisiken führen können, wenn sie missbraucht oder nicht überwacht werden.