CVE-2025-32463, auch bekannt als „chwoot“, ist eine kritische lokale Privilegieneskalationslücke in sudo
, die es lokalen Nutzern erlaubt, Root-Rechte zu erlangen. Betroffen sind sudo-Versionen 1.9.14 bis einschließlich 1.9.17. Die Lücke entsteht durch die fehlerhafte Verarbeitung der Option --chroot
(-R
), wodurch ein Angreifer sudo dazu bringen kann, eine manipulierte /etc/nsswitch.conf
aus einem selbst gewählten Verzeichnis zu laden und so beliebigen Code als root auszuführen.
sudo --version
Ist die ausgegebene Version zwischen 1.9.14 und 1.9.17 (einschließlich), ist Ihr System potenziell verwundbar.
--chroot
-Option erlaubt. Prüfen Sie mit:
sudo -l
oder inspizieren Sie die /etc/sudoers
und eventuelle Include-Dateien nach Regeln, die die Option -R
oder --chroot
erlauben.
# Beispiel für Debian/Ubuntu
sudo apt update && sudo apt upgrade sudo
# Beispiel für RHEL/CentOS/AlmaLinux
sudo dnf update sudo
Prüfen Sie nach dem Update erneut die Version.
--chroot
erlauben. Dies kann das Risiko kurzfristig mindern.
Alle Systeme mit sudo 1.9.14 bis 1.9.17 und erlaubter --chroot
-Option sind akut gefährdet.
Ein Exploit ist öffentlich verfügbar und funktioniert auf vielen Standard-Systemen.
Ein schnelles Update ist zwingend erforderlich.