新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招

2025年06月18日19:00:18 科技 3301

it之家 6 月 18 日消息,安全研究人员发现了两种新的本地权限提升漏洞(lpe),攻击者可以利用这些漏洞完全控制系统,或获得 root 权限,影响主要的 linux 发行版。这一发现引起了全球系统管理员的警惕。

  • 第一个漏洞,编号 cve-2025-6018,存在于 opensuse leap 15 和 suse linux enterprise 15 系统的可插拔认证模块(pam)配置中。该漏洞允许本地攻击者获得“allow_active”用户权限。
  • 第二个漏洞,编号 cve-2025-6019,存在于 libblockdev 库中。该漏洞允许已经获得“allow_active”权限的用户通过 udisks 守护进程(一个默认运行在大多数 linux 发行版中的存储管理服务)提升权限至 root。

昨日发现并报告这两个漏洞的 qualys 威胁研究小组(tru)开发了概念验证,并成功利用 cve-2025-6019 获取了 ubuntu、debian、fedora 和 opensuse leap 15 系统中的 root 权限

qualys tru 高级经理 saeed abbasi 警告说:“尽管名义上需要‘allow_active’权限,但 udisks 默认存在于几乎所有 linux 发行版中,因此几乎所有系统都容易受到攻击。攻击者可以串联这些漏洞,以最小努力实现直接 root 访问。”

it之家注意到,鉴于 udisks 的普遍存在和漏洞利用的简单性,该小组的建议非常明确:应将此视为一个关键且普遍的风险,立即应用安全补丁。

新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招 - 天天要闻

科技分类资讯推荐

北方桑拿天超长待机 未来一周这些地区人员注意防暑 - 天天要闻

北方桑拿天超长待机 未来一周这些地区人员注意防暑

近期,我国南北方多地持续高温酷热未来一周,北方桑拿天频现不少地方体感温度可达40℃以上将生生被“蒸”服其中,山东、河南等地热得十分突出济南、郑州桑拿天将天天见北京、天津、石家庄等地桑拿天也可持续6天未来十天河北中南部、黄淮、江汉及陕西关中等地将持续高温部分地区最高气温可达39至41℃注意防暑降温!(来...
苹果智能再遭挫折:顶级AI模型高管被“挖墙脚” - 天天要闻

苹果智能再遭挫折:顶级AI模型高管被“挖墙脚”

1月19日,瑞士达沃斯,世界经济论坛开幕前,Meta展馆内的Meta AI。图片来源:Hollie Adams—Bloomberg via Getty Images苹果公司(Apple Inc.)AI模型主管即将离职,加入Meta Platforms Inc.,这标志着iPhone制造商苹果公司在AI领域的艰难努力中再遭挫折。知情人士透露,负责公司Apple
齐鲁文化大模型入选山东省重大科技创新工程 - 天天要闻

齐鲁文化大模型入选山东省重大科技创新工程

齐鲁晚报·齐鲁壹点记者 时培磊根据《关于下达2025年山东省重点研发计划(重大科技创新工程)项目的通知》,由山东数字文化集团申报的齐鲁文化大模型项目入选山东省重点研发计划(重大科技创新工程),为全省文化领域唯一。
13999 元起,三星新一代折叠屏手机 Galaxy Z Fold7 国行价格偷跑 - 天天要闻

13999 元起,三星新一代折叠屏手机 Galaxy Z Fold7 国行价格偷跑

IT之家 7 月 9 日消息,三星新一代折叠屏旗舰手机 Galaxy Z Fold7 将于今日晚间 10 点正式发布,京东提前曝光了新机的规格和价格,IT之家附商品页爆料国行价格如下:12GB+256GB 售价 13999 元12GB+512GB 售价 14999 元16GB+1TB 售价 17499 元作为参考,上一代 Galaxy Z Fold6 的最低
董宇辉兰知春序备案官网域名 - 天天要闻

董宇辉兰知春序备案官网域名

天眼查App显示,近日,兰知春序(西安)科技有限公司新增一则网站备案信息,域名为“lanzhicx.com”,审核日期为6月23日。目前,该网站暂时无法打开。
墙板安装、地砖铺贴……首届粤港澳建筑机器人大赛好燃 - 天天要闻

墙板安装、地砖铺贴……首届粤港澳建筑机器人大赛好燃

7月8日,首届粤港澳建筑机器人大赛在华南理工大学(广州国际校区)举办。据悉,本次大赛由广东省住房和城乡建设厅、香港特别行政区政府发展局联合指导,粤港澳智能建造产业发展联盟与香港建造业议会主办,中建三局深圳公司等企业联合承办。
多个账号仿冒“K1373砸窗小伙” 平台:新增拦截仿冒策略 - 天天要闻

多个账号仿冒“K1373砸窗小伙” 平台:新增拦截仿冒策略

7月9日上午,红星新闻记者浏览发现,自官方通报“男子在列车上砸车窗通风”事件后,社交平台上涌现出多个以“K1373砸窗小伙”“砸车窗小伙”等命名的网络账号。其中,有一名为“砸玻璃的小伙子”的用户更是在抖音发布视频作品,表示自己就是那个砸玻璃的男人。 ▲社交平台上出现多个相关的账号记者查看这些账号,发现其中大...