Утиліта Sudo, яку використовують адміністратори та DevOps-інженери на Linux, нещодавно виявилась вразливою до серйозних атак. Через ці уразливості зловмисник міг отримати повний контроль над сервером.
30 червня вийшло оновлення Sudo 1.9.17p1, яке закриває одразу дві уразливості:
- CVE-2025-32462 (CVSS: 2.8)
- CVE-2025-32463 (CVSS: 9.3 — критична)
Навіть якщо критичною вважається лише одна, фахівці з безпеки рекомендують оновити систему й усунути обидві — вони можуть призвести до ескалації привілеїв.
Що робить уразливість критичною?
Sudo дозволяє запускати команди з правами root — без потреби вводити пароль суперкористувача. Але щойно з’являється лазівка в цьому механізмі — це відкриває дорогу локальним атакам.
У чому загроза?
- CVE-2025-32463 дозволяє будь-якому локальному користувачу, навіть без доступу до групи sudoers, виконати код із правами root.
- CVE-2025-32462 менш небезпечна, бо вимагає неправильно налаштованого sudoers-файлу. Але все одно становить ризик.
Тобто, якщо зловмисник уже має локальний доступ до твоєї системи (через SSH чи шкідливий акаунт) — він може отримати повний контроль. І для цього не потрібен пароль root.
Три кроки для захисту системи Linux
1. Онови Sudo просто зараз
Оновлення вже доступне для більшості дистрибутивів:
- Ubuntu/Debian
sudo apt update && sudo apt upgrade
- Arch
sudo pacman -Syu
- openSUSE
sudo zypper up
- Fedora — патч обіцяють вже скоро. До того моменту рекомендується обмежити доступ.
2. Перевір, хто має доступ до sudo
- На Ubuntu/Debian:
sudo getent group sudo
- На Fedora/Arch:
sudo getent group wheel
Знайшов акаунт, якого не має бути в sudo-групі? Вилучи його:
# Для Ubuntu/Debian
sudo deluser ім’я_користувача sudo
# Для Fedora/Arch
sudo gpasswd -d ім’я_користувача wheel
3. Аналізуй журнал дій sudo
sudo journalctl _COMM=sudo
Це допоможе побачити, чи були спроби незвичних команд.
Підсумок
Не відкладайте оновлення — це може коштувати контролю над сервером. Обидві уразливості становлять реальну загрозу, особливо якщо ти відповідаєш за інфраструктуру чи робочі середовища.
Онови систему, обмеж доступ до привілеїв і регулярно перевіряй журнали. Це прості кроки, які можуть врятувати інфраструктуру.