CVE-2025-32463 в sudo 1.9.x — насколько критично и как быстро патчить продакшн

[Bowden]

Вышла CVE-2025-32463 с CVSS 9.8, затрагивает sudo версий с 1.9.0 по 1.9.16p1. Уязвимость в обработке переменной окружения ROOTHOME при запуске с флагом --chroot: злоумышленник с локальным доступом может переопределить путь к домашней директории рута и подсунуть вредоносный .bashrc или .profile. При наличии cron-задачи, выполняемой под рутом через sudo, код исполнится без пароля. На Debian 12, Ubuntu 22.04 и RHEL 9 вышли патчи — sudo 1.9.16p2. Вопрос: у кого большой парк серверов, как организуете срочный rollout? Через Ansible всё понятно, но что делать с legacy-железом где apt годами не обновлялся?

[seniorwarlock]

Проверял у себя через `sudo --version | grep -oP 'Sudo version \K[\d.]+'` — на половине серверов Ubuntu 20.04 LTS сидит 1.9.9p2 из дефолтных репозиториев. Для срочной митигации пока применил workaround из бюллетеня: в /etc/sudoers добавил `Defaults !use_pty, env_reset, secure_path=...` и явно запретил передачу ROOTHOME через `Defaults!ALL env_delete += ROOTHOME`. Это не патч, но вектор закрывает до обновления. На реально изолированных машинах без внешнего доступа выдыхаем — локальный доступ всё равно нужен.

[heckman]

@seniorwarlock, Мы делаем rollout через Ansible в три волны: сначала dev, через сутки stage, ещё через двое — prod. Плейбук простейший: `ansible -m apt -a 'name=sudo state=latest' all`. Главная боль не само обновление, а то что после него надо перезапустить все процессы которые унаследовали env от старого sudo. У нас был случай когда после патча одной CVE несколько демонов продолжали работать со старыми credentials из env. `systemctl daemon-reexec` и перезапуск sshd обязателен.

[svelte88]

Ещё момент по детекции эксплуатации: если у вас есть SIEM или хотя бы auditd, добавьте правило на мониторинг execve с аргументом --chroot в sudo. В auditd: `-a always,exit -F arch=b64 -S execve -F path=/usr/bin/sudo -k sudo_chroot`. Если кто-то уже пробовал эксплуатировать — в логах будет. На большинстве серверов СНГ auditd стоит но правила не настроены, это печально.

[antico]

У нас Puppet, синхронизация раз в 30 минут. Просто накатили класс с `ensure => latest` на пакет sudo и за три часа обновились все 400 нод. Единственная проблема была на двух серверах под RHEL 7 где sudo из кастомного внутреннего репозитория — там пришлось вручную. Совет всем: держите список серверов с нестандартными источниками пакетов, иначе при срочном патчинге они выпадают из автоматизации и про них забывают.

[Mcstorm]

@Bowden, Интересный вектор через cron я и сам сразу подумал. Проверил: `sudo -l` показывает все записи с NOPASSWD, прошёлся по ним в паре с `find /etc/cron* -user root -writable 2>/dev/null`. Нашёл два скрипта с правами 755 и group-writable. Это уже не CVE-2025-32463, но хорошее напоминание что разрешения на cron-скрипты надо аудировать регулярно. Рекомендую `lynis audit system` — за 5 минут выдаёт весь список слабых мест по sudo и cron.