已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限
我要评论11月21日消息,已存近日,久U交互即Qualys发现了Ubuntu Linux的本地needrestart程序中发现了五个本地权限提升(LPE)漏洞。
这些漏洞编号分别为CVE-2024-48990、提权CVE-2024-48991、漏洞CVE-2024-48992、曝光CVE-2024-10224和CVE-2024-11003,无需在2014年4月发布的权限needrestart 0.8版本中引入,并于日前的已存3.8版本中修复。
Needrestart是久U交互即Linux(包括Ubuntu Server)上常用的实用程序,用于识别包更新后需要重新启动的本地服务,确保这些服务运行最新版本的提权共享库。
这些漏洞允许对Linux系统具有本地访问权限的漏洞攻击者,无需用户交互即可将其权限提升到root权限。曝光
漏洞简介如下:
CVE-2024-48990:Needrestart使用PYTHONPATH环境变量执行Python解释器,无需攻击者可通过植入恶意共享库以root身份执行任意代码。
CVE-2024-48992:Needrestart使用的Ruby解释器处理RUBYLIB环境变量时存在漏洞,允许攻击者注入恶意库以root身份执行任意Ruby代码。
CVE-2024-48991:Needrestart中的竞争条件允许攻击者替换Python解释器二进制文件,诱骗needrestart以root身份运行其代码。
CVE-2024-10224:Perl的ScanDeps模块对文件名处理不当,攻击者可以制作类似于shell命令的文件名,以便在打开文件时以root身份执行任意命令。
CVE-2024-11003:Needrestart对Perl的ScanDeps模块的依赖使其面临不安全使用eval()函数导致的任意代码执行。
值得注意的是,想要利用这些漏洞,攻击者必须对操作系统进行本地访问,这在一定程度上降低了风险。
不过还是建议用户升级到3.8或更高版本,并修改needrestart.conf文件以禁用解释器扫描功能,防止漏洞被利用。
相关文章
流畅度、游戏性能大增!Redmi K60系列推送小米澎湃OS 2正式版
12月26日消息,Redmi K60系列目前已经推送了小米澎湃OS 2正式版系统,具体版本为OS2.0.3.0.VMNCNXM。持有K60系列的用户,可点击“设置-我的设备-系统版本&rd2024-12-27
[流言板]冲击最佳第六人?普里查德今日20分,继续领跑替补得分榜
[流言板]冲击最佳第六人?普里查德今日20分,继续领跑替补得分榜由篮球资讯发表在篮球资讯 50211月09日讯 NBA常规赛,凯尔特人108-104战胜篮网。全场比赛,普里查德得到11中6得到20分。2024-12-27
今年的mvp会是谁呢?由赵四爱可乐发表在篮球资讯 5022024-12-27
[流言板]继续磨合!威少吸引防守后分球,约基奇接球失误后非常懊恼
[流言板]继续磨合!威少吸引防守后分球,约基奇接球失误后非常懊恼由篮球资讯发表在篮球资讯 50211月09日讯 今日NBA常规赛掘金对阵热火的比赛正在进行中。比赛第一节,威少吸引防守后分球,约基奇接球2024-12-27
12月26日消息,乘联会秘书长崔东树近日发布博文,指出中国汽车进口市场持续低迷。2024年1-11月,中国汽车进口量为64万辆,同比下降11%,已连续三年负增长。11月单月进口汽车6万辆,同比下降272024-12-27
微软搞复古!MSN品牌回归:取代Microsoft Start还有了新Logo
11月12日消息,近日,微软Edge浏览器的新标签页上的“Microsoft Start”标识已被更换为MSN标志性“蝴蝶”Logo。这也意味着微软将重2024-12-27
最新评论