CVE-2025-32463 („chwoot“): Wie erkennt man, ob ein System verwundbar ist – und wie behebt man das Problem?

Postman vs Bruno
June 11, 2025

CVE-2025-32463, auch bekannt als „chwoot“, ist eine kritische lokale Privilegieneskalationslücke in sudo, die es lokalen Nutzern erlaubt, Root-Rechte zu erlangen. Betroffen sind sudo-Versionen 1.9.14 bis einschließlich 1.9.17. Die Lücke entsteht durch die fehlerhafte Verarbeitung der Option --chroot (-R), wodurch ein Angreifer sudo dazu bringen kann, eine manipulierte /etc/nsswitch.conf aus einem selbst gewählten Verzeichnis zu laden und so beliebigen Code als root auszuführen.

Wie erkenne ich, ob mein System verwundbar ist?

  1. Sudo-Version prüfen:
    Führen Sie folgenden Befehl aus:
    sudo --version
    Ist die ausgegebene Version zwischen 1.9.14 und 1.9.17 (einschließlich), ist Ihr System potenziell verwundbar.
  2. Sudoers-Konfiguration prüfen:
    Die Lücke ist nur ausnutzbar, wenn die sudoers-Konfiguration die Nutzung der --chroot-Option erlaubt. Prüfen Sie mit:
    sudo -l
    oder inspizieren Sie die /etc/sudoers und eventuelle Include-Dateien nach Regeln, die die Option -R oder --chroot erlauben.
  3. Distribution prüfen:
    Einige Distributionen liefern bereits Updates aus. Prüfen Sie, ob Ihre Distribution ein Update für sudo bereitgestellt hat und installieren Sie es umgehend.

Wie behebe ich die Schwachstelle?

  • Update auf eine gepatchte sudo-Version:
    Die Lücke ist ab sudo 1.9.17p1 geschlossen. Aktualisieren Sie sudo mit dem Paketmanager Ihrer Distribution:
    
    # Beispiel für Debian/Ubuntu
    
    
    sudo apt update && sudo apt upgrade sudo
    
    # Beispiel für RHEL/CentOS/AlmaLinux
    sudo dnf update sudo
                
    Prüfen Sie nach dem Update erneut die Version.
  • Vorübergehende Maßnahmen:
    Falls ein Update nicht sofort möglich ist, entfernen oder deaktivieren Sie alle sudoers-Regeln, die die Nutzung von --chroot erlauben. Dies kann das Risiko kurzfristig mindern.
  • Systeme und Vorlagen aktualisieren:
    Vergessen Sie nicht, auch Templates für Cloud-VMs oder Container-Images zu aktualisieren, damit neue Instanzen nicht mit verwundbaren sudo-Versionen starten.

Fazit

Alle Systeme mit sudo 1.9.14 bis 1.9.17 und erlaubter --chroot-Option sind akut gefährdet. Ein Exploit ist öffentlich verfügbar und funktioniert auf vielen Standard-Systemen. Ein schnelles Update ist zwingend erforderlich.

Leave a Reply

Your email address will not be published. Required fields are marked *