会员登录 - 用户注册 - 设为首页 - 加入收藏 - 网站地图 已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限!

已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限

时间:2024-12-24 09:04:33 来源:掠地攻城网 作者:娱乐 阅读:346次

11月21日消息,已存近日,久U交互即Qualys发现了Ubuntu Linux的本地needrestart程序中发现了五个本地权限提升(LPE)漏洞。

这些漏洞编号分别为CVE-2024-48990、提权CVE-2024-48991、漏洞CVE-2024-48992、曝光CVE-2024-10224和CVE-2024-11003,无需在2014年4月发布的权限needrestart 0.8版本中引入,并于日前的已存3.8版本中修复。

已存在10年之久!Ubuntu五个本地提权漏洞曝光:无需交互即可获取root权限

Needrestart是久U交互即Linux(包括Ubuntu Server)上常用的实用程序,用于识别包更新后需要重新启动的本地服务,确保这些服务运行最新版本的提权共享库。

这些漏洞允许对Linux系统具有本地访问权限的漏洞攻击者,无需用户交互即可将其权限提升到root权限。曝光

漏洞简介如下:

CVE-2024-48990:Needrestart使用PYTHONPATH环境变量执行Python解释器,无需攻击者可通过植入恶意共享库以root身份执行任意代码。

CVE-2024-48992:Needrestart使用的Ruby解释器处理RUBYLIB环境变量时存在漏洞,允许攻击者注入恶意库以root身份执行任意Ruby代码。

CVE-2024-48991:Needrestart中的竞争条件允许攻击者替换Python解释器二进制文件,诱骗needrestart以root身份运行其代码。

CVE-2024-10224:Perl的ScanDeps模块对文件名处理不当,攻击者可以制作类似于shell命令的文件名,以便在打开文件时以root身份执行任意命令。

CVE-2024-11003:Needrestart对Perl的ScanDeps模块的依赖使其面临不安全使用eval()函数导致的任意代码执行。

值得注意的是,想要利用这些漏洞,攻击者必须对操作系统进行本地访问,这在一定程度上降低了风险。

不过还是建议用户升级到3.8或更高版本,并修改needrestart.conf文件以禁用解释器扫描功能,防止漏洞被利用。

(责任编辑:百科)

相关内容
  • 巴黎2024成绩总结:53战35胜,拿下法甲、法国杯、法超杯冠军
  • 莫塔:法乔利配得上首发 弗拉霍维奇状态和感觉都很棒
  • 传奇!拜仁晒海报祝贺穆勒16个赛季欧冠破门
  • 比亚迪鲨鱼皮卡获澳大利亚年度车大奖!准车主:领先柴油皮卡几年
  • 😮是个狠人!梅西保镖的训练方式:轮胎砸腹肌,真人拳击搏杀
  • 欧冠悲喜夜!利物浦6连胜晋级,国米遭绝杀,皇马险胜,拜仁大捷
  • 2024打工人高薪榜:数字前端工程师第一 平均月薪达67728元
  • 欧冠悲喜夜!利物浦6连胜晋级,国米遭绝杀,皇马险胜,拜仁大捷
推荐内容
  • 斯基拉:意大利国家队助教考察里奇、埃斯波西托
  • 欧冠对阵曼城破门,弗拉霍维奇本赛季进球数上双
  • 神十九航天员乘组将择机首次出舱!已在轨48天
  • 华为一呼百应:已吸引1200万名开发者加盟
  • 金投赏案例周:鲸鸿动能走进复旦大学  共探营销新境界
  • 2024年度车型激烈争夺中:哪吒L力压小米SU7 极越杀入前10