BDU:2025-07765 | Уязвимость программы для системного администрирова

BDU:2025-07765

Уязвимость программы для системного администрирования sudo, связанная с включением функций из недостоверной контролируемой области при использовании опции "-R" ("--chroot"), позволяющая нарушителю выполнить произвольный код и повысить свои привилегии

📄 Описание

Уязвимость программы для системного администрирования sudo связана с включением функций из недостоверной контролируемой области при использовании опции "-R" ("--chroot"). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и повысить свои привилегии путем размещения конфигурационного файла nsswitch.conf в корневую директорию chroot

🖥️ Уязвимое ПО

ООО «Ред Софт», АО "НТЦ ИТ РОСА", АО «ИВК», Novell Inc., Canonical Ltd., Red Hat Inc., Todd C. Miller

Наименование ПО: РЕД ОС (запись в едином реестре российских программ №3751), РОСА Кобальт (запись в едином реестре российских программ №1999), ROSA Virtualization (запись в едином реестре российских программ №5091), РОСА ХРОМ (запись в едином реестре российских программ №1607), АЛЬТ СП 10, Suse Linux Enterprise Desktop, Suse Linux Enterprise Server, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Module for Basesystem, Ubuntu, ROSA Virtualization 3.0 (запись в едином реестре российских программ №21308), Red Hat Enterprise Linux, Sudo

Версия ПО: 7.3 (РЕД ОС), 7.9 (РОСА Кобальт), 2.1 (ROSA Virtualization), 12.4 (РОСА ХРОМ), - (АЛЬТ СП 10), 15 SP6 (Suse Linux Enterprise Desktop), 15 SP6 (Suse Linux Enterprise Server), 15 SP6 (SUSE Linux Enterprise Server for SAP Applications), 15 SP6 (SUSE Linux Enterprise High Performance Computing), 15 SP6 (SUSE Linux Enterprise Module for Basesystem), 24.04 LTS (Ubuntu), 24.10 (Ubuntu), 3.0 (ROSA Virtualization 3.0), 15 SP7 (Suse Linux Enterprise Desktop), 15 SP7 (SUSE Linux Enterprise High Performance Computing), 15 SP7 (Suse Linux Enterprise Server), 15 SP7 (SUSE Linux Enterprise Server for SAP Applications), 15 SP7 (SUSE Linux Enterprise Module for Basesystem), 25.04 (Ubuntu), 10 (Red Hat Enterprise Linux), до 1.9.17p1 (Sudo)

Тип ПО: Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем

ОС / платформа: ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751), АО "НТЦ ИТ РОСА" РОСА Кобальт 7.9 (запись в едином реестре российских программ №1999), АО "НТЦ ИТ РОСА" ROSA Virtualization 2.1 (запись в едином реестре российских программ №5091), АО "НТЦ ИТ РОСА" РОСА ХРОМ 12.4 (запись в едином реестре российских программ №1607), АО «ИВК» АЛЬТ СП 10 - , Novell Inc. Suse Linux Enterprise Desktop 15 SP6 , Novell Inc. Suse Linux Enterprise Server 15 SP6 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6 , Canonical Ltd. Ubuntu 24.04 LTS , Canonical Ltd. Ubuntu 24.10 , АО "НТЦ ИТ РОСА" ROSA Virtualization 3.0 3.0 (запись в едином реестре российских программ №21308), Novell Inc. Suse Linux Enterprise Desktop 15 SP7 , Novell Inc. Suse Linux Enterprise Server 15 SP7 , Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7 , Canonical Ltd. Ubuntu 25.04 , Red Hat Inc. Red Hat Enterprise Linux 10

⚙️ Технические сведения

Тип ошибки

Включение функций из недостоверной контролируемой области (CWE-829)

Класс уязвимости

Уязвимость кода

Дата выявления

30.06.2025

Способ эксплуатации

Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Устранение

Уязвимость устранена

📊 CVSS

CVSS 2.0

AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.0

AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

⚠️ Уровень опасности

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,3)

🔗 Источники и меры

🔗 https://www.sudo.ws/releases/stable/#1.9.17p1 🔗 https://security-tracker.debian.org/tracker/CVE-20... 🔗 https://access.redhat.com/security/cve/cve-2025-32... 🔗 https://www.suse.com/security/cve/CVE-2025-32463.h... 🔗 https://ubuntu.com/security/CVE-2025-32463 🔗 https://www.opennet.ru/opennews/art.shtml?num=6350... 🔗 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ 🔗 https://abf.rosa.ru/advisories/ROSA-SA-2025-2907 🔗 https://abf.rosa.ru/advisories/ROSA-SA-2025-2906 🔗 https://abf.rosa.ru/advisories/ROSA-SA-2025-2973 🔗 https://www.cisa.gov/sites/default/files/csv/known... 🔗 https://altsp.su/obnovleniya-bezopasnosti/

🏷️ Идентификаторы

CVE-2025-32463

📅 Даты

Дата публикации

11.07.2025

Последнее обновление

15.05.2026

← Назад к списку

Детали уязвимости