新漏洞可讓黑客輕鬆獲取root許可權,幾乎所有Linux發行版都中招

2025年06月18日19:00:18 科技 3301

it之家 6 月 18 日消息,安全研究人員發現了兩種新的本地許可權提升漏洞(lpe),攻擊者可以利用這些漏洞完全控制系統,或獲得 root 許可權,影響主要的 linux 發行版。這一發現引起了全球系統管理員的警惕。

  • 第一個漏洞,編號 cve-2025-6018,存在於 opensuse leap 15 和 suse linux enterprise 15 系統的可插拔認證模塊(pam)配置中。該漏洞允許本地攻擊者獲得「allow_active」用戶許可權。
  • 第二個漏洞,編號 cve-2025-6019,存在於 libblockdev 庫中。該漏洞允許已經獲得「allow_active」許可權的用戶通過 udisks 守護進程(一個默認運行在大多數 linux 發行版中的存儲管理服務)提升許可權至 root。

昨日發現並報告這兩個漏洞的 qualys 威脅研究小組(tru)開發了概念驗證,並成功利用 cve-2025-6019 獲取了 ubuntu、debian、fedora 和 opensuse leap 15 系統中的 root 許可權

qualys tru 高級經理 saeed abbasi 警告說:「儘管名義上需要『allow_active』許可權,但 udisks 默認存在於幾乎所有 linux 發行版中,因此幾乎所有系統都容易受到攻擊。攻擊者可以串聯這些漏洞,以最小努力實現直接 root 訪問。」

it之家注意到,鑒於 udisks 的普遍存在和漏洞利用的簡單性,該小組的建議非常明確:應將此視為一個關鍵且普遍的風險,立即應用安全補丁。

新漏洞可讓黑客輕鬆獲取root許可權,幾乎所有Linux發行版都中招 - 天天要聞

科技分類資訊推薦

北方桑拿天超長待機 未來一周這些地區人員注意防暑 - 天天要聞

北方桑拿天超長待機 未來一周這些地區人員注意防暑

近期,我國南北方多地持續高溫酷熱未來一周,北方桑拿天頻現不少地方體感溫度可達40℃以上將生生被「蒸」服其中,山東、河南等地熱得十分突出濟南、鄭州桑拿天將天天見北京、天津、石家莊等地桑拿天也可持續6天未來十天河北中南部、黃淮、江漢及陝西關中等地將持續高溫部分地區最高氣溫可達39至41℃注意防暑降溫!(來...
蘋果智能再遭挫折:頂級AI模型高管被「挖牆腳」 - 天天要聞

蘋果智能再遭挫折:頂級AI模型高管被「挖牆腳」

1月19日,瑞士達沃斯,世界經濟論壇開幕前,Meta展館內的Meta AI。圖片來源:Hollie Adams—Bloomberg via Getty Images蘋果公司(Apple Inc.)AI模型主管即將離職,加入Meta Platforms Inc.,這標誌著iPhone製造商蘋果公司在AI領域的艱難努力中再遭挫折。知情人士透露,負責公司Apple
齊魯文化大模型入選山東省重大科技創新工程 - 天天要聞

齊魯文化大模型入選山東省重大科技創新工程

齊魯晚報·齊魯壹點記者 時培磊根據《關於下達2025年山東省重點研發計劃(重大科技創新工程)項目的通知》,由山東數字文化集團申報的齊魯文化大模型項目入選山東省重點研發計劃(重大科技創新工程),為全省文化領域唯一。
13999 元起,三星新一代摺疊屏手機 Galaxy Z Fold7 國行價格偷跑 - 天天要聞

13999 元起,三星新一代摺疊屏手機 Galaxy Z Fold7 國行價格偷跑

IT之家 7 月 9 日消息,三星新一代摺疊屏旗艦手機 Galaxy Z Fold7 將於今日晚間 10 點正式發布,京東提前曝光了新機的規格和價格,IT之家附商品頁爆料國行價格如下:12GB+256GB 售價 13999 元12GB+512GB 售價 14999 元16GB+1TB 售價 17499 元作為參考,上一代 Galaxy Z Fold6 的最低
董宇輝蘭知春序備案官網域名 - 天天要聞

董宇輝蘭知春序備案官網域名

天眼查App顯示,近日,蘭知春序(西安)科技有限公司新增一則網站備案信息,域名為「lanzhicx.com」,審核日期為6月23日。目前,該網站暫時無法打開。
牆板安裝、地磚鋪貼……首屆粵港澳建築機器人大賽好燃 - 天天要聞

牆板安裝、地磚鋪貼……首屆粵港澳建築機器人大賽好燃

7月8日,首屆粵港澳建築機器人大賽在華南理工大學(廣州國際校區)舉辦。據悉,本次大賽由廣東省住房和城鄉建設廳、香港特別行政區政府發展局聯合指導,粵港澳智能建造產業發展聯盟與香港建造業議會主辦,中建三局深圳公司等企業聯合承辦。
多個賬號仿冒「K1373砸窗小伙」 平台:新增攔截仿冒策略 - 天天要聞

多個賬號仿冒「K1373砸窗小伙」 平台:新增攔截仿冒策略

7月9日上午,紅星新聞記者瀏覽發現,自官方通報「男子在列車上砸車窗通風」事件後,社交平台上湧現出多個以「K1373砸窗小伙」「砸車窗小伙」等命名的網路賬號。其中,有一名為「砸玻璃的小夥子」的用戶更是在抖音發布視頻作品,表示自己就是那個砸玻璃的男人。 ▲社交平台上出現多個相關的賬號記者查看這些賬號,發現其中大...