新漏洞可讓黑客輕鬆獲取root權限,幾乎所有Linux發行版都中招

2025年06月18日19:00:18 科技 3301

it之家 6 月 18 日消息,安全研究人員發現了兩種新的本地權限提升漏洞(lpe),攻擊者可以利用這些漏洞完全控制系統,或獲得 root 權限,影響主要的 linux 發行版。這一發現引起了全球系統管理員的警惕。

  • 第一個漏洞,編號 cve-2025-6018,存在於 opensuse leap 15 和 suse linux enterprise 15 系統的可插拔認證模塊(pam)配置中。該漏洞允許本地攻擊者獲得「allow_active」用戶權限。
  • 第二個漏洞,編號 cve-2025-6019,存在於 libblockdev 庫中。該漏洞允許已經獲得「allow_active」權限的用戶通過 udisks 守護進程(一個默認運行在大多數 linux 發行版中的存儲管理服務)提升權限至 root。

昨日發現並報告這兩個漏洞的 qualys 威脅研究小組(tru)開發了概念驗證,並成功利用 cve-2025-6019 獲取了 ubuntu、debian、fedora 和 opensuse leap 15 系統中的 root 權限

qualys tru 高級經理 saeed abbasi 警告說:「儘管名義上需要『allow_active』權限,但 udisks 默認存在於幾乎所有 linux 發行版中,因此幾乎所有系統都容易受到攻擊。攻擊者可以串聯這些漏洞,以最小努力實現直接 root 訪問。」

it之家注意到,鑒於 udisks 的普遍存在和漏洞利用的簡單性,該小組的建議非常明確:應將此視為一個關鍵且普遍的風險,立即應用安全補丁。

新漏洞可讓黑客輕鬆獲取root權限,幾乎所有Linux發行版都中招 - 天天要聞

科技分類資訊推薦

三星Galaxy Watch Ultra 2025發佈 售價4999元 - 天天要聞

三星Galaxy Watch Ultra 2025發佈 售價4999元

7月9號消息,三星在今晚帶來了一系列新品,其中Galaxy Watch Ultra(2025)可應對高達55℃的高溫、9000米海拔高度和10個大氣壓的深海壓力,並且搭載新一代3nm處理器,運行更平穩。
Imagination GPU部門被中芯國際收購?官方回應 - 天天要聞

Imagination GPU部門被中芯國際收購?官方回應

近日有網傳消息稱,中芯國際通過全資子公司以5.6億美元現金收購英國Imagination GPU IP部門,甚至交易已經獲得中國和歐盟監管部門的批准。Imagination官方也被逼無奈,通過官方公眾號發佈了一份澄清函。
全網最嚴格,白澤獎評測標準公開 - 天天要聞

全網最嚴格,白澤獎評測標準公開

輔助駕駛的評測方式五花八門,但是我們發現一個問題,那就是大多數的評測都是將主動安全、領航輔助與智能泊車分開。並且這裏面缺失了一個很重要的東西,那就是用戶調研。我們做白澤獎,目的是做全面的評測和評價,那麼用戶調研就是必不可少的一部分。白澤獎是
北方桑拿天超長待機 未來一周這些地區人員注意防暑 - 天天要聞

北方桑拿天超長待機 未來一周這些地區人員注意防暑

近期,我國南北方多地持續高溫酷熱未來一周,北方桑拿天頻現不少地方體感溫度可達40℃以上將生生被「蒸」服其中,山東、河南等地熱得十分突出濟南、鄭州桑拿天將天天見北京、天津、石家莊等地桑拿天也可持續6天未來十天河北中南部、黃淮、江漢及陝西關中等地將持續高溫部分地區最高氣溫可達39至41℃注意防暑降溫!(來...