Súlyos sudo hiba: chroot opcióval root jog szerezhető

Bug

A sudo 1.9.14–1.9.17 verziókban egy súlyos sérülékenység (CVE-2025-32463) lehetővé teszi, hogy a helyi támadó a sudo -R (vagy --chroot) opcióval root jogosultságot szerezzen, még akkor is, ha nem szerepel a sudoers fájlban.

A probléma abból adódik, hogy a sudo hibásan a chroot-on belüli nsswitch.conf alapján tölt be osztott könyvtárakat, amelyet a támadó manipulálhat.

Megoldás:
A hibát a sudo 1.9.17p1 javítja, a chroot funkciót pedig elavultként jelölték, és jövőbeli verziókból el is távolítják.

Érintett rendszerek: minden, ahol van /etc/nsswitch.conf.

Bejelentés itt.

( Friczy v | 2025. 07. 01., k – 13:38 )

Ha jól látom, kell hozzá a runchroot bejegyzés az /etc/sudoers file-ban, ez azért erősen limitálja a kihasználhatóságát.

Én úgy értelmeztem (a részletes leírásban), hogy _kell_ hozzá a runchroot és/vagy a CHROOT= opció, szóval szerintem a "No workaround exists..." egy apró csúsztatás... (mondjuk lehet úgy értelmezni, hogy ha szükséged van a CHROOT-ra, akkor "No workaround exists", de szerintem itt szándékosan úgy fogalmaztak, hogy "nagyobbat szóljon".  

Én kíváncsiságból próbálgattam egy olyan verzión, ami a leírás szerint érintett, nem tudtam összehozni. Lehet, hogy kihagytam valamit, de mindenképpen azt dobta vissza, hogy nem engedélyezett a chroot. A példában, amit néztem, benne volt a sudoersben a runchroot, nálam természetesen nem.

( SPYFF v | 2025. 07. 01., k – 13:48 )

Ez a glibc-s DNS caching valahogy mindig bűzlött... Ráadásul sok éves blogposztokon, még régebbi levlista bejegyzések tanulsága alapján is instabil hack az egész. Megérdemeljük...

( sz332 v | 2025. 07. 01., k – 15:48 )

Az akkor még jó ötletnek tűnt egy újabb fejezete.

( Caro | 2025. 07. 01., k – 19:17 )

nsswitch.conf? Imádom! Statikus linkelésnél is mekkora örömöket okoz...

( OnlyZaenae | 2025. 07. 03., cs – 08:05 )

Manjaro már tegnap kiadta a frissítést/javítást.

Még nincs aláírásom.

Az Arch még 30-án, de ezt a reakciósebességet meg is szoktuk, el is várjuk.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( arpi_esp v | 2025. 07. 06., v – 00:02 )

Szerkesztve: 2025. 07. 06., v – 00:03

mar annyi bug volt a sudo-ban hogy ahol lehet fel sem rakom... ha nagyon kell root jog akkor su - es bemasolom jelszokezelobol a random root passt ahhoz a gephez. vagy eleve kulccsal root-kent lepek be...

a sudo mar ott hibas elkepzeles, hogy ugyanazt a jelszot keri amivel az egyszeri user belep. akkor mitol ved? sajat magatol max.

Nem teljesen, mert te olyantól rettegsz, ami lehet, hogy sosem történne meg. Eleve a sudo helyi kihasználású, kevés olyan szerver van, ahol nem egy megbízható kör dolgozik rajta (pár ember) lokálban és mivel az nem egy munkaállomás, az remote-local böngész-levelező sok elemes exploitláncokat is jó eséllyel el lehet felejteni. 

Mik maradnak? Felbasszák a PHP-t? Aztán utána nyomják fel a sudo-t? Ja. Megy vissza az egész mentésből. Nagy kaland.

trey @ gépház

a sudo mar ott hibas elkepzeles, hogy ugyanazt a jelszot keri amivel az egyszeri user belep. akkor mitol ved? sajat magatol max.

Hát a sudoersbe lehet mást is írni azon kívül, hogy
%rendszergazdák ALL=(ALL) ALL

Lehet mondjuk olyat is, hogy
%webdev valami-staging-szerver = (root) /bin/systemctl reload nginx.service

És akkor máris lesz értelme :)

Hát ahol működik a

  • sudo su
  • sudo -i
  • sudo -s

ott azért kérdéses, hogy jól haszn konfigurálták-e be azt a sudoerst.

(Vajon ennyi év alatt lesz-e ennyi hiba a FreeBSD mac_do nevű sudo helyettesítő MAC-rendszerében?)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( Raynes v | 2025. 07. 12., szo – 20:42 )

Hihetetlen, hogy az internet hogy felkapta ezt a sérülékenységet. YouTube-on, közösségi médián mantrázzák még most is megmondóemberek, hogy ahaaaa, a Linux is sérülékeny, lám-lám, temessük is el gyorsan, mégis csak jó az a Vindóz. Mikor szólok, hogy elkéstek ezzel, ezt a sérülékenységet az Arch 2 hete, a leglassabban frissítő ultrakonzervatív LTS/szekta disztró is 1+ hete befoltozta, és esélye nem volt ezt senkinek kihasználni, csak olyan balfaszok gépén, akik lusták frissíteni, akkor meg az van, hogy én vagyok a köcsög Linux fanatikus.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”