Sudo 로컬 권한 상승 취약점 패치 (CVE-2025-32462, CVE-2025-32463)

개요

최근 Sudo 유틸리티에서 두 가지 로컬 권한 상승 취약점이 공개되어 패치가 제공됨.
해당 취약점은 일반 사용자가 루트 권한을 획득할 수 있게 해줌

• CVE-2025-32462

  • Sudo의 host 옵션에 존재하는 낮은 심각도의 권한 상승 취약점.
  • 12년 이상 코드에 존재해온 버그로, 특정(흔히 사용되는) Sudo 설정에서 호스트 이름에 따라 권한이 제한된 경우, 추가적인 익스플로잇 없이 루트 권한 상승이 가능함.
  • Sudo v1.9.0~1.9.17, v1.8.8~1.8.32에 영향

• CVE-2025-32463

  • Sudo의 chroot 옵션(-R)에 존재하는 치명적(Critical) 취약점.
  • 사용자가 지정한 루트 디렉토리 하에서 임의의 공유 라이브러리를 로드하도록 Sudo를 속일 수 있음.
  • /etc/nsswitch.conf 파일을 이용해 공격 가능(해당 파일을 지원하는 시스템에서만).
  • Sudo v1.9.14~1.9.17에 영향. 레거시 버전(v1.8.x)은 해당 기능이 없어 영향받지 않음

대응 방안

• 업데이트: Sudo의 최신 보안 패치 적용(1.9.17p1 or later) 권장
• 임시 조치: /etc/sudoers 및 /etc/sudoers.d의 모든 Sudo 규칙 확인
  • Sudo 규칙이 LDAP에 저장된 경우, ldapsearch 같은 도구로 규칙 확인
  • 각 규칙에서 runchroot= 옵션 또는 CHROOT= 지시어 사용 여부 확인
  • Host 또는 Host_Alias 옵션이 포함되어 있는지 확인.

권장 사항

• 시스템 관리자 및 보안 담당자는 즉시 Sudo를 최신 버전으로 업데이트해야 합니다. (chroot 옵션은 1.9.17p1부터 더 이상 지원되지 않습니다.)
• 시스템 로그를 점검하여 비정상적인 Sudo 사용 이력이 있는지 확인하세요.