S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

L’agence américaine de cybersécurité avertit d’une faille critique exploitée dans sudo

Le 30 septembre 2025 à 09h10

La commande sudo est l’une des plus connues dans les univers Linux et Unix. Maintenue par le développeur Todd Miller (OpenBSD), elle permet d’accorder temporairement des droits administrateur à la commande que l’on s’apprête à lancer. Par exemple, sur les distributions de type Debian, la commande « sudo apt update » autorise APT à récupérer les dernières informations provenant des dépôts pour savoir si des paquets peuvent être mis à jour.

Aux États-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a prévenu lundi soir qu’une faille critique dans sudo était activement exploitée. Estampillée CVE-2025-32463, elle présente un score de sévérité de 9,3 sur 10 et a été découverte en juillet. Le bulletin de l’agence ne précise pas de quelle manière elle est exploitée, ni par qui.

Toutes les versions antérieures à la 1.9.17p1 sont vulnérables. L’exploitation permet à un utilisateur local d’obtenir un accès root (par escalade de privilèges), en incitant sudo à charger une bibliothèque partagée arbitraire grâce à l’utilisation d’un répertoire racine spécifié via l’option -R (–chroot). Le pirate peut alors lancer des commandes arbitraires en tant que root sur les systèmes prenant en charge /etc/nsswitch.conf.

La CISA recommande bien sûr de mettre à jour le plus rapidement possible toutes les machines. L’agence s’adresse en priorité aux administrations et entreprises américaines, mais le conseil est valable partout.

Chez les particuliers, cette faille ne devrait pas être un problème. Elle avait été signalée immédiatement par de nombreux éditeurs (Canonical, Red Hat, SUSE…) et corrigée dans la foulée. Le problème est résolu depuis presque trois mois. Comme indiqué, le message s’adresse davantage aux grosses structures qui auraient été plus lentes à réagir.

À noter que la CISA a averti dans son bulletin de quatre autres vulnérabilités exploitées : une dans Adminer, une dans Cisco IOS/IOS XE, une dans GoAnywhere MFT de Fortra et une autre dans Libraesva.

Le 30 septembre 2025 à 09h10

Commentaires (22)

votre avatar
Si jamais certain·e·s se posent la question, sous Debian Trixie, la 1.9.16p2-3 corrige bien cette faille
votre avatar
et sous bookworm ? (debian 12).
La version installée chez moi est la 1.9.13p3
votre avatar
Oui c'est OK pour la 1.9.13p3-1+deb12u2
Pour info tu peux checker ici :
https://security-tracker.debian.org/tracker/CVE-2025-32463
votre avatar
1.9.13p3 et 1.9.13p3-1+deb12u2, c'est pareil ?
votre avatar
Oui c'est pour préciser que c'est la version du paquet destinée à la version 12 update 2 de debian
votre avatar
Par défaut SUDO n’est pas installé sur Debian, il l’est par contre sur Ubuntu et Mint il me semble
votre avatar
Je crois qu'il est installé, il faut c'est déclarer les utilisateurs comme SUDO (ou faisant partie du groupe SUDO, je sais plus)
votre avatar
Oui c'est ça.
Sudo ne donne aucun droits par défaut aux user. Quand à savoir si la faille s'en préoccupe, no lo sé.
votre avatar
Non Sudo n'est pas installé sur Debian par défaut depuis la version 10 je crois. Ne le confondez pas avec le groupe sudo.
votre avatar
J'ai installé une Debian sur VM et j'ai juste rajouter au groupe sudo mon user et j'ai pas dû installer sudo ... où me goures-je ?
votre avatar
Une distribution récente à jour ne devrait, en théorie du moins, pas rencontre ce souci. Bien faire les mises à jour donc.

Je serais curieux de savoir comment fonctionne en pratique cette faille ... Locale à la machine ? Exploitation à distance ?
votre avatar
L’exploitation permet à un utilisateur local d’obtenir un accès root
votre avatar
L'article contient un lien vers l'annonce du CISA qui liste les CVE. Les CVE ont les détails. C'est exploitable avec un compte local.
votre avatar
Lire ici tout le détail décrit par ceux qui ont trouvé la faille.

En résumé, sudo appelle plusieurs fois chroot() sans vérifier que l'utilisateur a le droit d'utiliser sudo en faisant un chroot (-R ou -chroot=...). C'est un problème de codage manifestement. En fait, cette possibilité dans sudo est passée en obsolète et va être supprimée car très peu utilisée en réalité.

Donc n'importe quel utilisateur local peut exploiter la faille.
votre avatar
C'est un problème de codage manifestement.
Je ne vois pas ce qui dépend d'un quelconque codage dans cette faille, c'est "juste" une erreur de vérification de la validité de certains des appels de fonctions dans le programme sudo.
votre avatar
Appelle ça un problème d'interface chaise-clavier pendant l'écriture de cette partie du logiciel si tu préfères. Mais c'est bien le développeur qui a merdé et sur un programme comme sudo, c'est assez embêtant.
votre avatar
Ok, tu appelles codage l'écriture du programme, c'est ce que je n'avais pas compris, vu que codage ne veut pas dire "processus d'écriture du code".
votre avatar
Faille locale, bien sûr, puisque sudo n'implique pas d'écoute sur le réseau.

Le fonctionnement est assez malin et repose sur la faculté de sudo à faire un chroot : tu fais un sudo -R pour lui dire de faire un chroot. Normalement, quand on arrive à ce point, tout le code de sudo est chargé, donc on n'a pas trop à se préoccuper du contenu du répertoire vers lequel ont fait le chroot contrôlé par l'utilisateur. Sauf qu'en fait, tout n'est pas chargé. Il y a des options rigolotes de sudo qui causent des résolutions DNS. Or, la façon dont on fait les résolutions DNS (fichier local, résolveur, NIS, etc.) se configure dans le fichier /etc/nsswitch.conf. Le bug, c'est que si un fichier /etc/nsswitch.conf est présent dans le répertoire du chroot, c'est celui-ci qui est pris en compte plutôt que celui du système, et ça ouvre pas mal de possibilités pour un utilisateur malveillant. Je n'ai pas regardé le détail de l'exploitation de la faille, mais le nsswitch marche avec un système de plugins, donc de chargement dynamique de code ; si tu prends le contrôle là-dessus, tu injectes tout le code que tu veux dans sudo et tu es le roi du monde.
votre avatar
THX pour le how-to :)
Du coup, je vais me faire France Travail et tous les hôpitaux de France.
A zut.. déjà fait :(
votre avatar
Raison numéro 13692 de virer sudo de toutes ses installs Linux.
"su" est amplement suffisant, avec l'intérêt supplémentaire d'exiger le mot de passe pour l'élévation.
votre avatar
Oui, c'est ça :
su
cd /
quelques commandes

exiy

rm -fr .

Oh merde ! Je n'avais pas vu le "bash: exiy : commande introuvable"
votre avatar
Ouais après faut pas taper au clavier les yeux fermés ou valider des commandes sans être sûr, mais ça vaut pour 100% de ce que tu tapes dans un terminal donc bon ...

L’agence américaine de cybersécurité avertit d’une faille critique exploitée dans sudo