0次浏览 发布时间:2025-06-18 18:30:00
IT之家 6 月 18 日消息,安全研究人员发现了两种新的本地权限提升漏洞(LPE),攻击者可以利用这些漏洞完全控制系统,或获得 root 权限,影响主要的 Linux 发行版。这一发现引起了全球系统管理员的警惕。
第一个漏洞,编号 CVE-2025-6018,存在于 openSUSE Leap 15 和 SUSE Linux Enterprise 15 系统的可插拔认证模块(PAM)配置中。该漏洞允许本地攻击者获得“allow_active”用户权限。
第二个漏洞,编号 CVE-2025-6019,存在于 libblockdev 库中。该漏洞允许已经获得“allow_active”权限的用户通过 udisks 守护进程(一个默认运行在大多数 Linux 发行版中的存储管理服务)提升权限至 root。
昨日发现并报告这两个漏洞的 Qualys 威胁研究小组(TRU)开发了概念验证,并成功利用 CVE-2025-6019 获取了 Ubuntu、Debian、Fedora 和 openSUSE Leap 15 系统中的 root 权限。
Qualys TRU 高级经理 Saeed Abbasi 警告说:“尽管名义上需要‘allow_active’权限,但 udisks 默认存在于几乎所有 Linux 发行版中,因此几乎所有系统都容易受到攻击。攻击者可以串联这些漏洞,以最小努力实现直接 root 访问。”
IT之家注意到,鉴于 udisks 的普遍存在和漏洞利用的简单性,该小组的建议非常明确:应将此视为一个关键且普遍的风险,立即应用安全补丁。
相关文章
预售20.99万元起,新一代智己LS6车型9月10日上市
09-04蔚来汽车:年内将全面贯通川西环线及滇藏换电路线
08-29全新小鹏P7确认8月27日上市,目标是9月起公司月交付量稳超4万辆
08-19居然智家董事长汪林朋被曝坠楼身亡,5天前刚解除留置
07-28岚图汽车邵明峰称中国辅助驾驶已实现从追赶到并跑
07-27DIY从入门到放弃:杀毒软件先别装!
07-20“生物人工智能”系统创建
07-14广东全面上线人工智能辅助影像阅片系统
07-11山西综改示范区倾力打造“企业家之家”贴心服务体系
07-08更精准 更先进 电子司线首次“上岗” 温网迈出历史性一步
07-06