数据观澜人工智能
快捷导航
您的位置:首页>电脑教程>>Ubuntu系统软件中的五个漏洞潜藏了十年才被发现 >

Ubuntu系统软件中的五个漏洞潜藏了十年才被发现

  发布时间:2025-12-07 20:09:38   作者:玩站小弟   我要评论
Ubuntu系统中的实用程序 needrestart 近日被曝出存在5个本地权限提升 LPE) 漏洞,这些漏洞不是最近才产生,而是已经潜藏了10年未被发现。这些漏洞由 Qualys 发现,并被跟踪为 。

Ubuntu系统中的系统实用程序 needrestart 近日被曝出存在5个本地权限提升 (LPE) 漏洞,这些漏洞不是软件最近才产生  ,而是个漏已经潜藏了10年未被发现。

这些漏洞由 Qualys 发现,洞潜并被跟踪为 CVE-2024-48990、藏年才被CVE-2024-48991 、发现CVE-2024-48992 、系统CVE-2024-10224 和 CVE-2024-11003,亿华云软件由 2014 年 4 月发布的个漏Needrestart  0.8 版本中引入,直到最近的洞潜11月19日才在3.8 版本中修复 。

这5个漏洞允许攻击者在本地访问有漏洞的藏年才被 Linux 系统 ,在没有用户交互的发现情况下将权限升级到 root:

CVE-2024-48990: Needrestart 使用从运行进程中提取的 PYTHONPATH 环境变量执行 Python 解释器 。 如果本地攻击者控制了这个变量 ,源码下载系统就可以通过植入恶意共享库,软件在 Python 初始化过程中以 root 身份执行任意代码。个漏CVE-2024-48992 :Needrestart 使用的 Ruby 解释器在处理攻击者控制的 RUBYLIB 环境变量时存在漏洞 。 这允许本地攻击者通过向进程注入恶意库,以 root 身份执行任意 Ruby 代码 。CVE -2024-48991 : Needrestart 中的争用条件允许本地攻击者用恶意可执行文件替换正在验证的 Python 解释器二进制文件 。高防服务器 通过仔细把握替换时机 ,可以诱使 Needrestart 以 root 身份运行他们的代码 。CVE-2024-10224:Needrestart 使用的 Perl ScanDeps 模块未正确处理攻击者提供的文件名。攻击者可以制作类似于 shell 命令的文件名(例如 command|),以便在打开文件时以 root 身份执行任意命令 。CVE-2024-11003 :Needrestart 对 Perl 的免费模板 ScanDeps 模块的依赖使其暴露于 ScanDeps 本身的漏洞中 ,其中不安全地使用 eval() 函数会导致在处理攻击者控制的输入时执行任意代码 。

值得注意的是,为了利用这些漏洞,攻击者必须通过恶意软件或被盗帐户对操作系统进行本地访问,模板下载这在一定程度上降低了风险 。但攻击者过去也利用过类似的 Linux 权限提升漏洞来获得 root 权限  ,包括 Loony Tunables 和利用 nf_tables 漏洞,因此不能因为这些漏洞需要本地访问权限就疏于修补。

除了升级到版本 3.8 或更高版本(包括所有已识别漏洞的补丁)之外,建议用户修改Needrestart.conf 文件以禁用解释器扫描功能 ,从而防止漏洞被利用 。

服务器租用
  • Tag:

相关文章

  • Fortinet数据中心防火墙及服务ROI超300%!Forrester TEI研究发布

    近日,专注网络与安全融合的全球网络安全领导者 Fortinet联合全球知名分析机构Forrester发布总体经济影响独立分析报告,详细阐述了在企业数据中心部署 FortiGate 下一代防火墙NGFW
    2025-12-07

  • 黑客‘劫持’了一颗卫星,用它直播黑客大会和放电影,并且还完全合法?

    ​有这么一群黑客,他们「劫持」了一颗加拿大卫星,用它进行直播黑客大会,还放映黑客电影。并且他们做的这一切还完全合法!周六,在拉斯维加斯举行的DEF CON黑客大会上,一个名为Shadytel的黑客爱好
    2025-12-07

  • 逻辑炸弹攻击(Logic Bomb Attack)全解析:概念、危害、迹象、案例、防御

    虽然一些网络攻击是显而易见的,但逻辑炸弹通常难以检测,并且会悄悄地破坏您的设备和隐私数据。那么有哪些值得警惕的迹象呢?什么是逻辑炸弹logic bomb)?逻辑炸弹是在满足特定逻辑条件时能改变运行方式
    2025-12-07

  • 企业的供应商可能给其带来最大的网络安全风险

    ​虽然企业可以在多个层面上评估和管理风险,但第三方风险和缺乏强大的网络安全控制对业务弹性构成强大的威胁。与这些风险领域相关的漏洞和服务中断已经导致很多企业的关键系统瘫痪。2021年,在BlackKit
    2025-12-07

  • Web 3.0 对软件行业的影响

    和许多突破性技术一样,区块链背后的中心思想很简单,但被周围的点缀与喧嚣所掩盖。从本质而言,这是一个纯技术性想法,但它的魅力与预期的正相反:通过媒介传播,它变得更加安全。区块链的概念源自《中本聪白皮书》
    2025-12-07

  • 请注意,PDF正在传播恶意软件

    据Bleeping Computer消息,安全研究人员发现了一种新型的恶意软件传播活动,攻击者通过使用PDF附件夹带恶意的Word文档,从而使用户感染恶意软件。类似的恶意软件传播
    2025-12-07

最新评论