Recentemente, pesquisadores identificaram duas falhas graves na ferramenta sudo (CVE‑2025‑32462 e CVE‑2025‑32463) que estão presentes em muitas distribuições Linux. Essas vulnerabilidades podem permitir que usuários locais sem privilégios obtenham acesso root, tornando-se uma ameaça real para a segurança de sistemas que utilizam sudo.
A primeira falha (CVE‑2025‑32462, CVSS 2.8) está no uso da opção “-h” (host), presente no sudo desde 2013. Em ambientes que usam arquivos sudoers distribuídos em diferentes máquinas, usuários podem executar comandos que deveriam ser restritos a outro host no sistema local
A segunda vulnerabilidade (CVE‑2025‑32463, CVSS 9.3) é ainda mais crítica. Explora a opção “‑R” (chroot): um usuário cria um diretório controlado por ele contendo um arquivo nsswitch.conf malicioso. Ao executar sudo com chroot para esse diretório, o sistema carrega bibliotecas do local indevido e garante acesso root, mesmo sem estar listado em sudoers . Esta falha afeta sudo 1.9.14 a 1.9.17 e já foi corrigida na versão 1.9.17p1
As principais distribuições (Ubuntu, Debian, Red Hat, SUSE, Alpine, Amazon Linux, AlmaLinux, Gentoo) já emitiram pacotes atualizados com os patches . O mantenedor do sudo planeja remover a opção chroot em futuras versões, por ser considerada “propensa a erros” .
Dica de prevenção
Atualize urgentemente o sudo para a versão 1.9.17p1 ou superior em todos os seus sistemas. Para distribuição manual, verifique os pacotes disponíveis (ex: sudo-1.9.17p1-...). Evite usar a opção chroot no sudo até que seja oficialmente removida. Adote políticas mais restritivas em sudoers e monitore logs para tentativas de uso de sudo com host ou chroot.
A descoberta dessas falhas reforça a importância de manter ferramentas críticas atualizadas e revisar configurações. Atualize o sudo agora mesmo e garanta que seu ambiente Linux esteja protegido. Para proteger sua empresa contra riscos semelhantes e conhecer as soluções da LC SEC, acesse nossos serviços e fortaleça sua segurança digital.
Conheça nossos serviços em lcsec.io