Ubuntu發行版修復5個本地提權漏洞,已潛伏10年
2024-11-23 01:32:15 1
IT之家 11 月 22 日訊息,科技媒體 bleepingcomputer 於 11 月 20 日釋出博文,報道稱 Ubuntu Linux 發行版中潛伏 10 年的漏洞被發現,攻擊者利用這些漏洞可以提升本地許可權至 root 級別。
Qualys 發現了這 5 個漏洞存在於 needrestart 實用工具中,追蹤編號分別為 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。
needrestart 是一個用於檢查在庫升級後哪些守護程序需要重新啟動的實用程式,這些漏洞於 2014 年 4 月釋出的 needrestart 0.8 版本中引入,在 2024 年 11 月 19 日釋出的 3.8 版本中才修復。IT之家簡要介紹下 5 個漏洞如下:
CVE-2024-48990 和 CVE-2024-48992: 攻擊者可透過控制 PYTHONPATH 和 RUBYLIB 環境變數,注入惡意共享庫,從而在 Python 和 Ruby 直譯器初始化期間執行任意程式碼。
CVE-2024-48991: 利用 needrestart 中的競爭條件,攻擊者可以替換 Python 直譯器二進位制檔案,從而執行惡意程式碼。
CVE-2024-10224: needrestart 使用的 Perl ScanDeps 模組對攻擊者提供的檔名處理不當,允許攻擊者構造類似 shell 命令的檔名來執行任意命令。
CVE-2024-11003: ScanDeps 模組中不安全的使用 eval () 函式,導致在處理攻擊者控制的輸入時可能執行任意程式碼。
本站內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容,請發送郵件至舉報,壹經查實,本站將立刻刪除。