近日,知名科技媒體bleepingcomputer披露了一項驚人的安全發(fā)現(xiàn):在Ubuntu Linux發(fā)行版中,潛藏了長達十年的安全漏洞。這些漏洞若被惡意利用,將使攻擊者能夠輕易地將本地權(quán)限提升至root級別,對系統(tǒng)安全構(gòu)成嚴重威脅。
據(jù)安全公司Qualys的研究,這些漏洞均存在于needrestart實用工具中,共計五個,追蹤編號分別為CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。needrestart是一個用于檢測庫升級后需要重啟的守護進程的實用程序,它在系統(tǒng)維護和安全更新中扮演著重要角色。
值得注意的是,這些漏洞最初是在2014年4月發(fā)布的needrestart 0.8版本中引入的,而直到2024年11月19日發(fā)布的3.8版本中才得以修復(fù)。這意味著,在這長達十年的時間里,任何使用needrestart的Ubuntu Linux系統(tǒng)都可能面臨被攻擊的風(fēng)險。
CVE-2024-10224和CVE-2024-11003則與needrestart使用的Perl ScanDeps模塊有關(guān)。其中,CVE-2024-10224是由于ScanDeps模塊對攻擊者提供的文件名處理不當,使得攻擊者能夠構(gòu)造出類似shell命令的文件名來執(zhí)行任意命令。而CVE-2024-11003則是因為ScanDeps模塊中不安全地使用eval函數(shù),導(dǎo)致在處理攻擊者控制的輸入時可能執(zhí)行任意代碼。
