CVE-2025-32463: Kerentanan sudo chroot (CRITICAL)

Sebuah kerentanan (vulnerability) ditemukan oleh Rich Mirch pada utiliti “sudo”. Tercatat di database CVE sebagai CVE-2025-32463.

Kerentanan ini mendapat skor 9.3 (CRITICAL) karena sangat berbahaya, memungkinkan user lokal pada sistem mendapat privilege dan menjadi “root” walaupun dia tidak tercantum dalam list akses yang diberikan oleh sudo.

Masalah ini terjadi pada sudo v1.9.14 yang dirilis pada Juni 2023, dimana terjadi update pada kode penanganan perintah chroot (sudo -R).

Sampai saat artikel ini ditulis (4 Juli 2025), dalam pemantauan saya belum ada update pada distro Ubuntu (24.04.2 LTS) maupun Fedora (41 dan 42). Padahal kerentanan ini telah dipublikasian pada 30 Juni 2025. Semoga pengelola distro dapat dengan cepat merilis update untuk permasalahan ini. Karena mitigasi exploit ini tidak bisa dilakukan dengan perubahan konfigurasi sudo. Harus dilakukan update paket sudo ke versi yang tidak terdampak.

Contoh kode proof-of-concept dapat dilihat di https://github.com/kh4sh3i/CVE-2025-32463.

• Versi sudo yang terpengaruh: v1.9.14 keatas sebelum v1.9.17p1.
• Dampak: user lokal bisa menjadi root tanpa harus memiliki hak.
• Yang dibutuhkan untuk exploit:
  • user lokal
  • hak akses untuk menulis direktori
• Mitigasi: update “sudo” ke versi yang tidak terpengaruh.

UPDATE 2025-07-08: Link to heading

• Sudah tersedia patch dari Fedora 42 dan Fedora CoreOS 42.