新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招

2025年06月18日19:00:18 科技 3301

it之家 6 月 18 日消息,安全研究人员发现了两种新的本地权限提升漏洞(lpe),攻击者可以利用这些漏洞完全控制系统,或获得 root 权限,影响主要的 linux 发行版。这一发现引起了全球系统管理员的警惕。

  • 第一个漏洞,编号 cve-2025-6018,存在于 opensuse leap 15 和 suse linux enterprise 15 系统的可插拔认证模块(pam)配置中。该漏洞允许本地攻击者获得“allow_active”用户权限。
  • 第二个漏洞,编号 cve-2025-6019,存在于 libblockdev 库中。该漏洞允许已经获得“allow_active”权限的用户通过 udisks 守护进程(一个默认运行在大多数 linux 发行版中的存储管理服务)提升权限至 root。

昨日发现并报告这两个漏洞的 qualys 威胁研究小组(tru)开发了概念验证,并成功利用 cve-2025-6019 获取了 ubuntu、debian、fedora 和 opensuse leap 15 系统中的 root 权限

qualys tru 高级经理 saeed abbasi 警告说:“尽管名义上需要‘allow_active’权限,但 udisks 默认存在于几乎所有 linux 发行版中,因此几乎所有系统都容易受到攻击。攻击者可以串联这些漏洞,以最小努力实现直接 root 访问。”

it之家注意到,鉴于 udisks 的普遍存在和漏洞利用的简单性,该小组的建议非常明确:应将此视为一个关键且普遍的风险,立即应用安全补丁。

新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招 - 天天要闻

科技分类资讯推荐

董宇辉兰知春序备案官网域名 - 天天要闻

董宇辉兰知春序备案官网域名

天眼查App显示,近日,兰知春序(西安)科技有限公司新增一则网站备案信息,域名为“lanzhicx.com”,审核日期为6月23日。目前,该网站暂时无法打开。
墙板安装、地砖铺贴……首届粤港澳建筑机器人大赛好燃 - 天天要闻

墙板安装、地砖铺贴……首届粤港澳建筑机器人大赛好燃

7月8日,首届粤港澳建筑机器人大赛在华南理工大学(广州国际校区)举办。据悉,本次大赛由广东省住屋和城乡建设厅、香港特别行政区政府发展局联合指导,粤港澳智能建造产业发展联盟与香港建造业议会主办,中建三局深圳公司等企业联合承办。
多个账号仿冒“K1373砸窗小伙” 平台:新增拦截仿冒策略 - 天天要闻

多个账号仿冒“K1373砸窗小伙” 平台:新增拦截仿冒策略

7月9日上午,红星新闻记者浏览发现,自官方通报“男子在列车上砸车窗通风”事件后,社交平台上涌现出多个以“K1373砸窗小伙”“砸车窗小伙”等命名的网络账号。其中,有一名为“砸玻璃的小伙子”的用户更是在抖音发布视频作品,表示自己就是那个砸玻璃的男人。 ▲社交平台上出现多个相关的账号记者查看这些账号,发现其中大...
撕掉伪创新!岚图CEO卢放:我们只做能扛5万次颠簸的“低调技术” - 天天要闻

撕掉伪创新!岚图CEO卢放:我们只做能扛5万次颠簸的“低调技术”

7月9日,岚图FREE+以一场史无前例的“暴力开箱”直播震撼行业:在-30℃极寒冰封、500公斤重压、超国标500%强度的5万次颠簸震动后,其空气悬架系统不仅毫发无损,连门把手、电吸门等细节功能均全程零异常,相当于在极寒的漠河超满载连跑5年颠簸路后,岚图FREE+空悬品质依然稳定可靠。这场对“百万级豪车底盘”的地狱式拷问,...
筑牢网络安全屏障——七台河市成功举办2025年度网络安全培训与网络安全应急演练 - 天天要闻

筑牢网络安全屏障——七台河市成功举办2025年度网络安全培训与网络安全应急演练

七台河市成功举办2025年度网络安全培训与网络安全应急演练筑牢网络安全屏障7月9日,七台河市委网信办联合市公安局、市营商环境局组织开展2025年七台河市网络安全培训及网络安全应急演练。此次网络安全培训、应急演练活动旨在扎实备战年度网络安全工作,全面提升全市网络安全突发事件的应急处置能力。各县(区)委网信办、市...