Ubuntu發行版修復5個本地提權漏洞，已潛伏10年

2024-11-23 01:32:17 1

IT之家 11 月 22 日訊息，科技媒體 bleepingcomputer 於 11 月 20 日釋出博文，報道稱 Ubuntu Linux 發行版中潛伏 10 年的漏洞被發現，攻擊者利用這些漏洞可以提升本地許可權至 root 級別。

Qualys 發現了這 5 個漏洞存在於 needrestart 實用工具中，追蹤編號分別為 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。

needrestart 是一個用於檢查在庫升級後哪些守護程序需要重新啟動的實用程式，這些漏洞於 2014 年 4 月釋出的 needrestart 0.8 版本中引入，在 2024 年 11 月 19 日釋出的 3.8 版本中才修復。IT之家簡要介紹下 5 個漏洞如下：

CVE-2024-48990 和 CVE-2024-48992: 攻擊者可透過控制 PYTHONPATH 和 RUBYLIB 環境變數，注入惡意共享庫，從而在 Python 和 Ruby 直譯器初始化期間執行任意程式碼。

CVE-2024-48991: 利用 needrestart 中的競爭條件，攻擊者可以替換 Python 直譯器二進位制檔案，從而執行惡意程式碼。

CVE-2024-10224: needrestart 使用的 Perl ScanDeps 模組對攻擊者提供的檔名處理不當，允許攻擊者構造類似 shell 命令的檔名來執行任意命令。

CVE-2024-11003: ScanDeps 模組中不安全的使用 eval () 函式，導致在處理攻擊者控制的輸入時可能執行任意程式碼。

本文標籤ubuntu 發行修復 5個本地提權漏洞潛伏 10年

多位開發者收到華為激勵金：開發鴻蒙原生應用最高獎勵100萬

« 上一篇 2024-11-23

谷歌安卓16打造端側AI智慧體：Gemini將成管家，代使用者掌控應用互動

2024-11-23 下一篇 »

Ubuntu發行版修復5個本地提權漏洞，已潛伏10年

多位開發者收到華為激勵金：開發鴻蒙原生應用最高獎勵100萬

谷歌安卓16打造端側AI智慧體：Gemini將成管家，代使用者掌控應用互動

相關文章