Security Alert: Kritische Sudo-Lücke unter Linux

Security

Linux

Autor:in

Jörg Kantel

Veröffentlichungsdatum

4. Juli 2025

Eine kritische Sicherheitslücke in dem Programm sudo unter Linux führt dazu, daß unprivilegierte Nutzer zu root, das heißt zum Systemadministrator werden könnten. Ein Update steht bereits zur Verfügung und es sollte zügig eingefahren werden.

Die Lücke versteckt sich in verschiedenen sudo-Versionen – unklar ist, in welchen genau. Der Entdecker, Rich Mirch von Stratascale Cyber Research Unit, konnte nicht alle Versionen testen. Er ist jedoch sicher, die Lücke sei in älteren Versionen vor sudo 1.8.32 nicht enthalten, da die chroot-Funktion erst in dieser Version auftauchte. Der schadhafte Code wurde offenbar in Version 1.9.14 eingebaut. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug. Er hat die CVE-ID CVE-2025-32463 und eine CVSS-Bewertung von 9,2 (Priorität: »kritisch«). Der Entdecker stellt einen Beispielexploit bereit. (Mein persönlicher CERT per Email.)

Bild: Pingus Fighting, erstellt mit OpenArt.ai. Prompt: »Colored Franco-Belgian comic style. Illustration of a penguin wearing a red scarf on an ice floe fights pirates with computer keyboards who want to drive him off his ice floe. A banner reading “root” hangs above the ice floe«. Modell: Flux Kontext, Style: None.