Ubuntu 发布更新修补 needrestart 安全漏洞

微信扫一扫,分享到朋友圈

Ubuntu 发布更新修补 needrestart 安全漏洞

Ubuntu 的母公司 Canonical 宣布,其安全团队已发布更新,修复了 Qualys 发现的 needrestart 和 libmodule-scandeps-perl 软件包中的漏洞。

自 Ubuntu 21.04 起,这些软件包已被默认安装在 Ubuntu 中,因此安装这些更新非常重要。

Ubuntu 发布更新修补 needrestart 安全漏洞插图

在介绍这些漏洞的背景时,Canonical 表示它们允许本地权限升级(LPE),这意味着本地攻击者可以利用它们获得 root 权限,并在系统中为所欲为。Ubuntu 制造商在解释具体情况时说:

在 CVE-24024-48991 中,本地攻击者可以通过赢得针对 needrestart 的检查时间使用时间竞赛条件来控制 Python 解释器。

在 CVE-2024-10224 中,Qualys 发现攻击者控制的输入可导致 Module::ScanDeps Perl 模块通过 open() “讨厌的管道”(例如传递 “commands|”作为文件名)或传递任意字符串到 eval() 运行任意 shell 命令。仅凭这一点还不足以实现本地权限升级。然而,在 CVE-2024-11003 中,needrestart 将攻击者控制的输入(文件名)传递给 Module::ScanDeps,并以根权限触发了 CVE-2024-10224。CVE-2024-11003 的修复程序移除了 needrestart 对 Module::ScanDeps 的依赖。

受影响的版本包括 Ubuntu 22.04 LTS、Ubuntu 24.04 LTS 和 Ubuntu 24.10,包括服务器和桌面安装。如果你安装了 needrestart 软件包,以前的版本也可能受到影响。

要检查是否受到影响,可以运行以下命令:

  • apt list --installed | grep "^\(needrestart\|libmodule-scandeps-perl\)"

如果你的 needrestart 低于 22.04 上的 3.5-5ubuntu2.1、24.04 上的 3.6-7ubuntu4.1,或 24.10 上的 3.6-8ubuntu4,你就需要更新软件包。要升级这些软件包,请使用以下命令:

  • sudo apt update && sudo apt install --only-upgrade needrestart libmodule-scandeps-perl

不言而喻,如果您使用的是联网电脑,就必须定期为电脑安装可用的更新,这样攻击者就无法利用漏洞。

来源:Ubuntu

上一篇

Intel Arc 非 WHQL 显卡驱动 v32.0.101.6299

下一篇

曝微软免费的 Windows 版 Bing Wallpaper 应用有诸多流氓行为

你也可能喜欢

评论已经被关闭。

插入图片

排行榜

返回顶部