新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招

2025年06月18日19:00:18 科技 3301

it之家 6 月 18 日消息,安全研究人员发现了两种新的本地权限提升漏洞(lpe),攻击者可以利用这些漏洞完全控制系统,或获得 root 权限,影响主要的 linux 发行版。这一发现引起了全球系统管理员的警惕。

  • 第一个漏洞,编号 cve-2025-6018,存在于 opensuse leap 15 和 suse linux enterprise 15 系统的可插拔认证模块(pam)配置中。该漏洞允许本地攻击者获得“allow_active”用户权限。
  • 第二个漏洞,编号 cve-2025-6019,存在于 libblockdev 库中。该漏洞允许已经获得“allow_active”权限的用户通过 udisks 守护进程(一个默认运行在大多数 linux 发行版中的存储管理服务)提升权限至 root。

昨日发现并报告这两个漏洞的 qualys 威胁研究小组(tru)开发了概念验证,并成功利用 cve-2025-6019 获取了 ubuntu、debian、fedora 和 opensuse leap 15 系统中的 root 权限

qualys tru 高级经理 saeed abbasi 警告说:“尽管名义上需要‘allow_active’权限,但 udisks 默认存在于几乎所有 linux 发行版中,因此几乎所有系统都容易受到攻击。攻击者可以串联这些漏洞,以最小努力实现直接 root 访问。”

it之家注意到,鉴于 udisks 的普遍存在和漏洞利用的简单性,该小组的建议非常明确:应将此视为一个关键且普遍的风险,立即应用安全补丁。

新漏洞可让黑客轻松获取root权限,几乎所有Linux发行版都中招 - 天天要闻

科技分类资讯推荐

三星Galaxy Watch Ultra 2025发布 售价4999元 - 天天要闻

三星Galaxy Watch Ultra 2025发布 售价4999元

7月9号消息,三星在今晚带来了一系列新品,其中Galaxy Watch Ultra(2025)可应对高达55℃的高温、9000米海拔高度和10个大气压的深海压力,并且搭载新一代3nm处理器,运行更平稳。
Imagination GPU部门被中芯国际收购?官方回应 - 天天要闻

Imagination GPU部门被中芯国际收购?官方回应

近日有网传消息称,中芯国际通过全资子公司以5.6亿美元现金收购英国Imagination GPU IP部门,甚至交易已经获得中国和欧盟监管部门的批准。Imagination官方也被逼无奈,通过官方公众号发布了一份澄清函。
全网最严格,白泽奖评测标准公开 - 天天要闻

全网最严格,白泽奖评测标准公开

辅助驾驶的评测方式五花八门,但是我们发现一个问题,那就是大多数的评测都是将主动安全、领航辅助与智能泊车分开。并且这里面缺失了一个很重要的东西,那就是用户调研。我们做白泽奖,目的是做全面的评测和评价,那么用户调研就是必不可少的一部分。白泽奖是
北方桑拿天超长待机 未来一周这些地区人员注意防暑 - 天天要闻

北方桑拿天超长待机 未来一周这些地区人员注意防暑

近期,我国南北方多地持续高温酷热未来一周,北方桑拿天频现不少地方体感温度可达40℃以上将生生被“蒸”服其中,山东、河南等地热得十分突出济南、郑州桑拿天将天天见北京、天津、石家庄等地桑拿天也可持续6天未来十天河北中南部、黄淮、江汉及陕西关中等地将持续高温部分地区最高气温可达39至41℃注意防暑降温!(来...