首页 - 科技 > 已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限!

已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限!

发布于:2024-11-21 作者:凹凸曼 阅读:49

近日,Qualys发现了Ubuntu Linux的needrestart程序中发现了五个本地权限提升(LPE)漏洞。

这些漏洞编号分别为CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003,在2014年4月发布的needrestart 0.8版本中引入,并于日前的3.8版本中修复。

Needrestart是Linux(包括Ubuntu Server)上常用的实用程序,用于识别包更新后需要重新启动的服务,确保这些服务运行最新版本的共享库。

这些漏洞允许对Linux系统具有本地访问权限的攻击者,无需用户交互即可将其权限提升到root权限。

漏洞简介如下:

CVE-2024-48990:Needrestart使用PYTHONPATH环境变量执行Python解释器,攻击者可通过植入恶意共享库以root身份执行任意代码。

CVE-2024-48992:Needrestart使用的Ruby解释器处理RUBYLIB环境变量时存在漏洞,允许攻击者注入恶意库以root身份执行任意Ruby代码。

CVE-2024-48991:Needrestart中的竞争条件允许攻击者替换Python解释器二进制文件,诱骗needrestart以root身份运行其代码。

CVE-2024-10224:Perl的ScanDeps模块对文件名处理不当,攻击者可以制作类似于shell命令的文件名,以便在打开文件时以root身份执行任意命令。

CVE-2024-11003:Needrestart对Perl的ScanDeps模块的依赖使其面临不安全使用eval()函数导致的任意代码执行。

值得注意的是,想要利用这些漏洞,攻击者必须对操作系统进行本地访问,这在一定程度上降低了风险。

不过还是建议用户升级到3.8或更高版本,并修改needrestart.conf文件以禁用解释器扫描功能,防止漏洞被利用。

已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限


二维码

扫一扫关注我们

版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至 3941001135@qq.com举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

上一篇:中国第一个充气式柔性密封舱太空试验成功!空间站、登月都用得着!

下一篇:播放量超628万 UP主何同学抄袭风波视频成爆款:比iPhone 16 Pro热度还高!

相关文章

客服QQ:3941001135

客服邮箱:3941001135@qq.com

二维码

本站部分文字及图片均来自于网络,如有侵权请及时联系删除处理

Copyright © 2023 本站技术支持0571YP技术支持 苏ICP备2024129037号-1