已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限
11月21日消息,已存近日,久U交互即Qualys发现了Ubuntu Linux的本地needrestart程序中发现了五个本地权限提升(LPE)漏洞。
这些漏洞编号分别为CVE-2024-48990、提权CVE-2024-48991、漏洞CVE-2024-48992、曝光CVE-2024-10224和CVE-2024-11003,无需在2014年4月发布的权限needrestart 0.8版本中引入,并于日前的已存3.8版本中修复。
Needrestart是久U交互即Linux(包括Ubuntu Server)上常用的实用程序,用于识别包更新后需要重新启动的本地服务,确保这些服务运行最新版本的提权共享库。
这些漏洞允许对Linux系统具有本地访问权限的漏洞攻击者,无需用户交互即可将其权限提升到root权限。曝光
漏洞简介如下:
CVE-2024-48990:Needrestart使用PYTHONPATH环境变量执行Python解释器,无需攻击者可通过植入恶意共享库以root身份执行任意代码。
CVE-2024-48992:Needrestart使用的Ruby解释器处理RUBYLIB环境变量时存在漏洞,允许攻击者注入恶意库以root身份执行任意Ruby代码。
CVE-2024-48991:Needrestart中的竞争条件允许攻击者替换Python解释器二进制文件,诱骗needrestart以root身份运行其代码。
CVE-2024-10224:Perl的ScanDeps模块对文件名处理不当,攻击者可以制作类似于shell命令的文件名,以便在打开文件时以root身份执行任意命令。
CVE-2024-11003:Needrestart对Perl的ScanDeps模块的依赖使其面临不安全使用eval()函数导致的任意代码执行。
值得注意的是,想要利用这些漏洞,攻击者必须对操作系统进行本地访问,这在一定程度上降低了风险。
不过还是建议用户升级到3.8或更高版本,并修改needrestart.conf文件以禁用解释器扫描功能,防止漏洞被利用。
相关文章
- 据媒体 Tech4Gamers 发现,索尼申请了一项新的专利,通过根据现实中玩家的状态调整游戏的玩法、画面和性能设置,来改进玩家的体验。名为“游戏状态控制CONTROLLINGGAME STATE)”2024-12-25
- 11月15日讯欧国联比赛,法国主场0-0战平以色列。赛后法国队主帅德尚表示,自己对球队的表现并不满意。本场表现?"不会,面对一支严防死守并且多次故意拖延时间的对手,我们本可以做得更好。我们有机会赢下这2024-12-25
- 10月06日讯 西甲第9轮 皇家马德里vs比利亚雷亚尔,比赛第79分钟,维尼修斯肩膀有些伤情,居勒尔替补登场。2024-12-25
- 中新社重庆11月24日电 (梁钦卿)经过2天激烈比拼,2024中国杯世界花样滑冰大奖赛成绩23日晚出炉。日本选手佐藤骏获得男子单人滑冠军,美国选手安伯·格伦(Amber GLENN)获得女子单人滑冠军2024-12-25
- 12月24日消息,特斯拉最近发布了2024年的年度成绩单视频,展示了公司过去一年的成就,并对未来的产品规划进行了展望。该视频强调了特斯拉正在加速推进Semi电动卡车、Cybercab赛博无人驾驶电动车2024-12-25
359元起 振华发布ZILLION DB系列电源:通过双铜牌测试
11月24日消息,振华推出了ZILLION DB系列卓凌铜牌系列)电源,首批提供了650W和750W额定功率可选,售价359元起。振华表示,ZILLION DB系列电源不仅在价格上实现了超值,更在节能2024-12-25
最新评论