Linux z poważną luką bezpieczeństwa. Była w systemie od lat i nikt jej nie zauważył?

W systemach Linux wykryto dwie poważne luki bezpieczeństwa, które mogą umożliwić osobom z lokalnym dostępem do komputera uzyskanie pełnej kontroli nad urządzeniem. Problem dotyczy popularnego narzędzia systemowego o nazwie Sudo, które pozwala użytkownikom na tymczasowe wykonywanie poleceń z uprawnieniami administratora (bez potrzeby logowania się jako administrator).

Luki otrzymały numery CVE-2025-32462 (o niskim stopniu zagrożenia) oraz CVE-2025-32463 (o krytycznym stopniu zagrożenia). Obie dotyczą narzędzia Sudo, obecnego w praktycznie wszystkich dystrybucjach systemu Linux, i umożliwiają łańcuchowe ataki, które mogą prowadzić do uruchomienia dowolnych plików z pełnymi uprawnieniami. Jedna z nich została oceniona jako bardzo groźna: ma wskaźnik 9.3 w 10-stopniowej skali.

Co istotne, błąd obecny był w systemie od końca 2013 roku i dopiero teraz został wykryty przez badacza Rich’a Mircha z firmy Stratascale. Podatność istniała we wszystkich wersjach Sudo sprzed 1.9.17p1.

Luka sprzed dekady właśnie ujrzała światło dzienne

Zagrożenie dotyczy głównie firm i organizacji, które korzystają z jednej konfiguracji systemu rozsyłanej na wiele urządzeń – np. przez tzw. LDAP (mechanizm scentralizowanego zarządzania uprawnieniami). W takich przypadkach możliwa jest eskalacja uprawnień bez odpowiednich zabezpieczeń. Dobra wiadomość jest taka, że poprawki są już dostępne. Deweloperzy projektu Sudo udostępnili je pod koniec czerwca 2024 roku, po odpowiedzialnym zgłoszeniu luk w kwietniu.

Zaktualizowane poprawki udostępniono m.in. dla systemów: Ubuntu, Debian, Red Hat, SUSE, AlmaLinux, Amazon Linux, Oracle Linux, Gentoo i Alpine Linux.

Użytkownikom systemów Linux zaleca się natychmiastową aktualizację – w szczególności, jeśli korzystają z komputera do pracy lub przechowują na nim ważne dane.