Linux – Obtenez un accès root avec ces deux failles dans sudo : CVE-2025-32462 et CVE-2025-32463
Deux nouvelles failles de sécurité découvertes dans sudo menace, une nouvelle fois, la sécurité des machines Linux. Ce paquet populaire sert à exécuter des commandes en tant qu'utilisateur privilégié, sans se connecter directement en root. Quels sont les risques ? Comment se protéger ? Faisons le point.
Les administrateurs de machines Linux doivent prendre connaissance de l'existence de deux nouvelles vulnérabilités dans sudo : CVE-2025-32462 et CVE-2025-32463. Elles permettent une élévation de privilèges en local, ce qui n'est pas surprenant compte tenu de l'intérêt même de sudo. Rich Mirch, de l'unité de recherche cyber de Stratascale, a mis en lumière ces deux vulnérabilités.
Pour rappel, sudo est installé par défaut sur certaines distributions Linux, tout en étant disponible dans une grande majorité de dépôts.
CVE-2025-32462 : une faille vieille de 12 ans dans sudo
La première faille, associée à la référence CVE-2025-32462, est une vulnérabilité de faible gravité, mais à l'impact majeur. Elle est liée à l'option -h (ou --host) de sudo, conçue pour lister les privilèges d'un utilisateur sur un hôte distant.
"L'option host (-h ou -host) de Sudo est destinée à être utilisée conjointement avec l'option list (-l ou -list) pour lister les privilèges sudo d'un utilisateur sur un hôte autre que l'hôte actuel. Cependant, en raison d'un bogue, cette option n'était pas limitée à la liste des privilèges et pouvait être utilisée lors de l'exécution d'une commande via sudo ou de l'édition d'un fichier avec sudoedit.", précise le bulletin de sécurité de sudo.
Rich Mirch précise que cette vulnérabilité exploite une configuration spécifique, bien que courante, où les règles sudo sont limitées à des noms d'hôtes ou des modèles de noms d'hôtes. Il est parvenu à exploiter cette vulnérabilité sur Ubuntu 24.04 et macOS Sequoia 15.3.2, où une version vulnérable de sudo était présente. Il est à noter que cette faiblesse était présente dans le code de Sudo depuis plus de 12 ans !
Cette faille affecte les versions stables de sudo (v1.9.0 – 1.9.17) et les versions héritées (v1.8.8 – 1.8.32).
CVE-2025-32463 : une faille critique dans l'option chroot de sudo
La seconde vulnérabilité, CVE-2025-32463, est quant à elle considérée comme critique. Elle est directement liée à l'option --chroot (ou -R) de sudo, qui permet à un utilisateur d'exécuter une commande dans une autre racine.
En exploitant cette vulnérabilité, un attaquant local (sans privilège particulier) peut tromper sudo en lui faisant charger une bibliothèque partagée arbitraire. Cela est rendu possible en créant un fichier /etc/nsswitch.conf sous le répertoire racine spécifié par l'utilisateur. Ainsi, l'attaquant peut faire en sorte que le système charge sa bibliothèque, ce qui va mener à l'exécution de code arbitraire.
Cette vulnérabilité affecte les versions de Sudo de 1.9.14 à 1.9.17. Attention, il est important de préciser que les versions legacy de sudo (inférieures ou égale à la version 1.8.32) ne sont pas vulnérables ! En effet, la fonctionnalité chroot n'y était pas incluse.
"L'option chroot est désormais obsolète depuis la version 1.9.17p1. Il est recommandé d'éviter d'utiliser l'option chroot, car elle pourrait involontairement rendre votre environnement moins sûr si elle n'est pas correctement implémentée.", précise Rich Mirch dans son rapport.
Les deux vulnérabilités ont été confirmées comme exploitables sur des distributions Linux populaires telles qu'Ubuntu et Fedora, ainsi que sur macOS Sequoia (un système d'exploitation basé sur Unix). La version 1.9.17p1 de Sudo, publiée début juin 2025, corrige ces deux problèmes.
Patchez.
Merci beaucoup pour cet article très clair et intéressant sur ces nouvelles failles découvertes dans sudo ! Ce genre de découverte régulière montre bien qu’il faut toujours rester vigilant et suivre de près les mises à jour et les alertes de sécurité quand on gère des systèmes Linux.
Pour la faille CVE-2025-32462, même si elle est jugée plutôt faible, elle est quand même préoccupante parce qu’elle permettrait une élévation de privilèges locale. Ce qui est fou, c’est qu’elle est restée cachée dans le code pendant plus de 12 ans ! Ça montre vraiment l’importance de faire régulièrement des audits approfondis, surtout sur des outils aussi critiques que sudo.
La 2è vulnérabilité, CVE-2025-32463, est encore plus inquiétante puisqu’elle peut permettre à un utilisateur local (même sans privilèges particuliers) d’exécuter du code arbitraire grâce à l’option chroot. Je suis totalement d’accord avec la recommandation de Rich Mirch d’éviter d’utiliser cette option si elle n’est pas indispensable. Désactiver cette fonctionnalité pourrait éviter pas mal de problèmes potentiels.
Pour bien se protéger, en plus d’appliquer immédiatement les mises à jour disponibles, il vaut mieux :
Vérifier et restreindre au maximum les utilisateurs ayant accès à sudo
Mettre en place une vraie politique de gestion des vulnérabilités
Utiliser des outils de surveillance pour repérer rapidement toute activité inhabituelle liée à sudo
Merci encore pour ces informations précieuses ! Ça nous rappelle bien que la sécurité informatique est un boulot continu qui demande attention et réactivité.