白眉大叔 ALINUX3-SA-2025:0106: sudo 安全更
Sudo 版本升级 - 花生与酒 - 博客园 (cnblogs.com)
https://avd.aliyun.com/detail/CVE-2025-32462?spm=5176.2020520154.sas.70.3daafhOQfhOQYr&lang=zh×tamp__1384=n4%2BxnD0DRiYWwxmq0KDsA3xCwqQTHEqxOTwYTD
漏洞描述
sudo 是Linux系统发行版中的系统用户权限管理工具。2025年7月,互联网上披露 CVE-2025-32462 sudo < 1.9.17p1 host 选项本地提权漏洞。攻击者在已经获取到本地权限的情况下,若此时 /etc/sudoers 定义的Host 或 Host_Alias过于宽松,则攻击者可结合 sudo 的 -h(--host)选项,造成权限提升以root身份执行命令。
sudo 影响范围:
1.9.0 <= sudo <= 1.9.17
1.8.8 <= sudo <= 1.8.32
sudo 安全版本:
sudo 1.9.17p1
解决建议
sudo 通常为底层功能程序,通常由操作系统对其进行管理,并且有其自己的发行版本号。其实际修复版本依赖上游操作系统发布,而非 sudo 官方发布版本。云安全中心将持续跟进各上游操作系统发行方安全通告,并及时上线对应漏洞检测与修复规则。
解决
[root@master1 ~]# sudo --version
Sudo version 1.9.5p2
Sudo version 1.9.5p2
彻底解决方法:
Sudo 版本升级 - 花生与酒 - 博客园 (cnblogs.com)
升级系统的sudo,升级到最新的版本 1.9.17p1 以上即可.
1. 备份sudo相关文件
mkdir /etc/bak_sudo
find /etc/ -maxdepth 1 -name "sudo*" -exec cp -r {} /etc/bak_sudo/ \;
#备份两个文件,后面升级失败的话,可以回退这个两个文件即可
cp /usr/bin/sudo /usr/bin/sudo_bak_1.9.5p2
cp -r /usr/libexec/sudo /usr/libexec/sudo_bak_1.9.5p22.下载最新安装包( 1.9.17p1 )
sudo官网:https://www.sudo.ws/
sudo下载地址:https://www.sudo.ws/getting/download/
wget https://www.sudo.ws/dist/sudo-1.9.17p1.tar.gz2025年7月24日
下载:
mkdir -p /app/loudong/sudo && cd /app/loudong/sudo
wget https://www.sudo.ws/dist/sudo-1.9.17p1.tar.gz
tar xf sudo-1.9.17p1.tar.gz
cd sudo-1.9.17p1/
编译:
./configure --prefix=/opt/sudo --libexecdir=/usr/libexec --with-secure-path --with-all-insults --with-env-editor --docdir=/usr/share/doc/sudo-1.9.17p1 --with-passprompt="[sudo] password for %p: "
make && make install
3验证:
sudo --version
欢迎来撩 : 汇总all
