最近在开发“福瑞漏洞扫描与智能分析平台 ”(福瑞漏洞扫描),扫描自身操作系统(openEuler-24.03-LTS-SP3)的时候,发现存在安全漏洞。
原始信息是:
Sudo before 1.9.17p1 allows local users to obtain root access by using /etc/nsswitch.conf from a user-controlled directory with the --chroot (-R) option.
看看我本地的版本:
[root@localhost home]#sudo --version | head -n 1
Sudo版本1.9.15p5
果然啊,受影响范围是 1.9.14 至 1.9.17。直接在线升级,发现……openEuler的软件源中尚未推送修复 CVE-2025-32463 漏洞的 1.9.17p1 或更高版本。openEuler 的官方仓库更新存在延迟,尤其对于 LTS 版本(如 24.03 SP3),安全补丁可能不会立即同步到所有镜像站……尴尬了,这样一来只能自己源码编译安装。好在,一路非常顺利。过程给大家汇报一下:
推荐操作:源码编译安装。这是最可靠、最直接的方式,可确保获得最新安全版本,且不依赖仓库更新节奏。
安装编译依赖
sudo dnf install gcc make pam-devel openssl-devel libselinux-devel -y
下载并解压官方源码包
wget https://www.sudo.ws/dist/sudo-1.9.17p1.tar.gz
tar xzf sudo-1.9.17p1.tar.gz
cd sudo-1.9.17p1
配置并编译
./configure --prefix=/usr/local/sudo --with-pam --with-selinux
make -j$(nproc)
sudo make install
验证新安装的 sudo
/usr/local/sudo/bin/sudo --version | head -n 1
输出应为:Sudo version 1.9.17p1
由此,搞定!
这个漏洞暴露出国产化操作系统的安全问题,不仅openEuler存在,别的国产化系统一样存在——漏洞早早就被爆出来了,厂家长时间没有修复(2025年7月到现在,马上1年了),客户怎么办?有几个能拿来源码自己编译?
顺道介绍下CVE-2025-32463,截图来自国家信息安全漏洞库,有兴趣的自己看下面的详情:https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2025-32463
版权所有:https://www.youxia.org 网路游侠,转载请注明!
