数据观澜数据库
快捷导航
您的位置:首页>数据库>>运维工程师来活了,Linux 又报了两个超级漏洞(附解决方案) >

运维工程师来活了,Linux 又报了两个超级漏洞(附解决方案)

  发布时间:2025-12-07 19:20:12   作者:玩站小弟   我要评论
2025年6月17日,Qualys研究团队披露了两个关键的Linux漏洞:CVE-2025-6018和CVE-2025-6019。该漏洞可以链式利用,允许攻击者从普通角色提升到root角色,影响多个L 。

2025年6月17日,运维x又Qualys研究团队披露了两个关键的工程个超Linux漏洞:CVE-2025-6018和CVE-2025-6019 。该漏洞可以链式利用,师活允许攻击者从普通角色提升到root角色 ,影响多个Linux发行版本,报两包括Ubuntu、漏解决Debian 、洞附Fedora、运维x又openSUSE Leap 15和SUSE Enterprise 15 。工程个超该漏洞只需要SSH登录就可以触发 。师活

1. 漏洞详情

以下是报两两个漏洞的核心信息 :

漏洞

CVE

受影响组件

影响

受影响的发行版

本地权限提升

CVE-2025-6018

PAM 配置

授予 "allow_active" 状态,启用特权操作

openSUSE Leap 15,漏解决 SUSE Linux Enterprise 15

根访问权限漏洞

CVE-2025-6019

libblockdev 通过 udisks 守护进程

结合 CVE-2025-6018 时,启用完全根访问权限

Ubuntu,洞附 Debian, Fedora, openSUSE Leap 15

2. 关键风险完全系统接管:黑客可获得root权限,控制系统和更改所有数据。模板下载运维x又规避端点检测 :黑客可以绕过常见监控工具 。工程个超持久后门:黑客可无感知留后门 ,师活从而实现长期控制系统。横向移动:黑客可利该漏洞攻击网络中的其他设备 。3. 技术背景

(1) PAM(Pluggable Authentication Modules)

PAM 是 Linux 系统中的一个用户认证框架模块,它可以通过配置文件例如: /etc/pam.d/ 或者 /etc/pam.conf 中来管理和定义认证策略 。CVE-2025-6018 漏洞源于 PAM 配置中的一个漏洞,具体来说就是允许远程用户(例如通过 SSH 登录)获得 "allow_active" 的状态。通常这个状态只会授予本地登陆的用户(比如通过控制台登录),但配置错误会导致远程用户也能获得特权。

(2) polkit(PolicyKit)

polkit 是一个权限管理框架,高防服务器用于控制非root用户对root权限操作的访问(如挂载设备或修改系统设置等)。CVE-2025-6019 利用了 polkit 的默认规则 ,特别是 org.freedesktop.udisks2.modify-device ,当其设置为 allow_active=yes 时,允许用户无需认证即可执行这些root权限的动作。

(3) libblockdev 和 udisks

libblockdev :一个 C 语言库,用于与块设备(如硬盘 、分区)交互 ,提供对存储设备的底层操作支持 。udisks2 :通过 D-Bus 接口提供用户空间对存储设备的访问,源码下载依赖 libblockdev。CVE-2025-6019 的漏洞存在于 libblockdev 中 ,通过 udisks 守护进程允许黑客执行root角色的操作 。4. 漏洞利用机制

Qualys 研究团队通过概念验证(PoC)代码,证明了这些漏洞在受影响发行版上是可以执行的。流程如下:

CVE-2025-6018:通过 SSH 登录 ,利用 PAM 配置错误获得 "allow_active" 状态 。CVE-2025-6019 :利用 libblockdev 的漏洞 ,通过 udisks 守护进程执行root角色操作 ,结合 CVE-2025-6018 的特权状态,云计算最终获得root权限。

这种攻击链利用了系统中原生的服务(如 udisks 和 PAM) ,无需额外工具。

5. 哪些版本值得关注?

管理员需检查系统是否运行以下受影响的发行版 :

openSUSE Leap 15 和 SUSE Linux Enterprise 15(CVE-2025-6018 和 CVE-2025-6019)Ubuntu(CVE-2025-6019)Debian(CVE-2025-6019)Fedora(CVE-2025-6019)

检查方法 :

查libblockdev 和 udisks2 的版本:

Debian/Ubuntu :dpkg -l | grep libblockdev 或 dpkg -l | grep udisks2Fedora:dnf list libblockdev 或 dnf list udisks2openSUSE:zypper info libblockdev 或 zypper info udisks2

检查 PAM 配置文件(如 /etc/pam.d/sshd)是否存在 user_readenv=1 设置。

6. 补救措施

(1) 立即打补丁

各发行版已发布或正在发布补丁,具体如下 :

发行版

包名

版本

安全公告

Debian bullseye (11)

libblockdev

2.25-2+deb11u1

DLA-4221-1

Debian bookworm (12)

libblockdev

2.28-2+deb12u1

DSA-5943-1

Debian sid/trixie

libblockdev

3.3.0-2.1

Debian Tracker

Ubuntu 25.04 (plucky)

libblockdev

3.3.0-2ubuntu0.1

Ubuntu CVE-2025-6019

Ubuntu 24.10 (oracular)

libblockdev

3.1.1-2ubuntu0.1

Ubuntu CVE-2025-6019

Ubuntu 24.04 LTS (noble)

libblockdev

3.1.1-1ubuntu0.1

Ubuntu CVE-2025-6019

Ubuntu 22.04 LTS (jammy)

libblockdev

2.26-1ubuntu0.1

Ubuntu CVE-2025-6019

Ubuntu 20.04 LTS (focal)

libblockdev

2.23-2ubuntu3+esm1

Ubuntu CVE-2025-6019

Ubuntu 18.04 LTS (bionic)

libblockdev

2.16-2ubuntu0.1~esm1

Ubuntu CVE-2025-6019

Fedora

libblockdev, udisks2

最新版本

待确认 ,建议运行 dnf update

注意:

Ubuntu 对 CVE-2025-6018 不受影响,因其未在远程认证配置文件中设置 user_readenv=1。Fedora 的补丁信息尚未公开  ,建议管理员定期检查 Fedora 安全更新。建站模板

操作步骤:

Debian/Ubuntu :运行 apt update && apt upgrade。Fedora:运行 dnf update。openSUSE :运行 zypper update  。

(2) 修改 polkit 规则

默认的 polkit 规则可能允许未经认证的操作 ,需调整 org.freedesktop.udisks2.modify-device 规则以要求管理员认证。

修改步骤 :

创建或编辑 /etc/polkit-1/rules.d/50-local.rules 文件: 复制polkit.addRule(function(action, subject) { if (action.id == "org.freedesktop.udisks2.modify-device") { return polkit.Result.AUTH_ADMIN; } });1.2.3.4.5. 保存并重启 polkit 服务:systemctl restart polkit。验证配置生效 :尝试以非管理员用户执行设备操作 ,应提示认证。

注意  :不同发行版的 polkit 配置路径可能略有差异,建议参考官方文档 。

(3) 加强 SSH 安全性

由于漏洞可通过 SSH 登录利用 ,需加强 SSH 配置:

禁用 root 登录 :编辑 /etc/ssh/sshd_config,设置 PermitRootLogin no 。香港云服务器使用密钥认证 :生成 SSH 密钥对,禁用密码登录(PasswordAuthentication no)。限制访问:使用 AllowUsers 或 AllowGroups 限制 SSH 用户。启用防火墙:使用 ufw 或 firewalld 限制 SSH 访问来源 IP 。重启 SSH 服务 :systemctl restart sshd 。

(4) 系统监控与检测

管理员应监控系统以发现潜在入侵迹象:

使用 auditd :配置审计规则 ,监控系统调用和重要文件是否有变更 。 复制auditctl -w /etc/passwd -p wa -k passwd_changes auditctl -w /etc/shadow -p wa -k shadow_changes1.2. 部署 IDS:使用 OSSEC 或 Tripwire 检测异常活动 。检查日志 :定期审查 /var/log/auth.log 或 /var/log/secure,寻找异常登录或命令执行。

(5) 备份与恢复

定期备份 :使用工具如 rsync 或 Timeshift 备份系统关键数据 。测试恢复:定期验证备份可用性 ,确保在系统被接管时可快速恢复 。隔离备份 :将备份存储在离线或只读介质上 ,防止被恶意软件破坏 。7. 结论

CVE-2025-6018和CVE-2025-6019是linux系统的一个重要的漏洞。系统工程师应给足够的重视、调整polkit配置 ,加固SSH ,并实施监控和备份。

  • Tag:

相关文章

  • 别拿陈旧的恶意软件不当威胁

    攻击者通常都要保持恶意软件与攻击技术在最新,但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom也被称为 Novarg 与 Mimail)在
    2025-12-07

  • win11天选姬打开教程

    华硕的天选系列笔记本支持使用虚拟桌宠——天选姬,不过在win11中应该怎么调出天选姬呢,其实我们是需要手动下载的,安装完成就能使用了。win11天选姬怎么出来:1、首先我们通过百度打开“华硕下载中心”
    2025-12-07

  • 360极速浏览器设置下载内容保存路径的方法

    360极速浏览器被一些小伙伴进行网页的浏览和软件的安装以及下载相关文件等,在360极速浏览器中下载的各种文件是可以进行路径的修改的,当你每次下载文件内容的时候,都需要进行修改文件的路径,这样操作下来就
    2025-12-07

  • Win10预览版1709笔记本总是自动调节屏幕亮度

    现在小伙伴们使用电脑的时间越来越多,长时间使用电脑,对我们的眼睛伤害很大。建议大家使用一两个小时的电脑就要停下来休息10分钟,眺望远方。除此之外,电脑屏幕亮度的控制也是很有必要的。但是发现win10屏
    2025-12-07

  • 震碎三观,谷歌广告竟然传播恶意软件

    在跨入2023年不久之后,加密货币爱好者Alex收到了一份“刻骨铭心”的新年礼物,只是因为点击了Google 搜索结果中的一个广告,下载OBS视频录制和直播软件,并启动了虚假可执行文件。几个小时之后,
    2025-12-07

  • ​360极速浏览器设置默认使用极速模式打开指定

    用户在面对众多的浏览器软件时,会根据自己的使用习惯来选择,其中就有用户会选择使用360极速浏览器,这款浏览器软件可以为用户带来不错的上网浏览体验,因此收获了庞大的用户群体,当用户在360极速浏览器软件
    2025-12-07

最新评论