近日,知名科技媒体bleepingcomputer披露了一项惊人的安全发现:在Ubuntu Linux发行版中,潜藏了长达十年的安全漏洞。这些漏洞若被恶意利用,将使攻击者能够轻易地将本地权限提升至root级别,对系统安全构成严重威胁。
据安全公司Qualys的研究,这些漏洞均存在于needrestart实用工具中,共计五个,追踪编号分别为CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。needrestart是一个用于检测库升级后需要重启的守护进程的实用程序,它在系统维护和安全更新中扮演着重要角色。
值得注意的是,这些漏洞最初是在2014年4月发布的needrestart 0.8版本中引入的,而直到2024年11月19日发布的3.8版本中才得以修复。这意味着,在这长达十年的时间里,任何使用needrestart的Ubuntu Linux系统都可能面临被攻击的风险。
CVE-2024-10224和CVE-2024-11003则与needrestart使用的Perl ScanDeps模块有关。其中,CVE-2024-10224是由于ScanDeps模块对攻击者提供的文件名处理不当,使得攻击者能够构造出类似shell命令的文件名来执行任意命令。而CVE-2024-11003则是因为ScanDeps模块中不安全地使用eval函数,导致在处理攻击者控制的输入时可能执行任意代码。