近日,知名科技媒體bleepingcomputer披露了一項驚人的安全發現:在Ubuntu Linux發行版中,潛藏了長達十年的安全漏洞。這些漏洞若被惡意利用,將使攻擊者能夠輕易地將本地權限提升至root級別,對系統安全構成嚴重威脅。
據安全公司Qualys的研究,這些漏洞均存在于needrestart實用工具中,共計五個,追蹤編號分別為CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。needrestart是一個用于檢測庫升級后需要重啟的守護進程的實用程序,它在系統維護和安全更新中扮演著重要角色。
值得注意的是,這些漏洞最初是在2014年4月發布的needrestart 0.8版本中引入的,而直到2024年11月19日發布的3.8版本中才得以修復。這意味著,在這長達十年的時間里,任何使用needrestart的Ubuntu Linux系統都可能面臨被攻擊的風險。
CVE-2024-10224和CVE-2024-11003則與needrestart使用的Perl ScanDeps模塊有關。其中,CVE-2024-10224是由于ScanDeps模塊對攻擊者提供的文件名處理不當,使得攻擊者能夠構造出類似shell命令的文件名來執行任意命令。而CVE-2024-11003則是因為ScanDeps模塊中不安全地使用eval函數,導致在處理攻擊者控制的輸入時可能執行任意代碼。
