【ITBEAR】近日,安全研究人員在Ubuntu Linux系統(tǒng)中廣泛使用的needrestart工具中發(fā)現(xiàn)了五個(gè)嚴(yán)重的安全漏洞,這些漏洞可能導(dǎo)致本地權(quán)限提升(LPE),使攻擊者能夠以root權(quán)限控制受影響的系統(tǒng)。
needrestart是一個(gè)實(shí)用的系統(tǒng)工具,專門用于檢測(cè)哪些服務(wù)在軟件包更新后需要重啟,以確保它們使用最新版本的共享庫(kù)。然而,這些新發(fā)現(xiàn)的漏洞威脅到了該工具的安全性。
具體而言,這些漏洞的編號(hào)分別為CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003,它們最早在2014年4月發(fā)布的needrestart 0.8版本中引入,并在最近的3.8版本中得到了修復(fù)。
以下是這些漏洞的簡(jiǎn)要介紹:
CVE-2024-48991漏洞則是一個(gè)競(jìng)爭(zhēng)條件,允許攻擊者替換Python解釋器的二進(jìn)制文件,當(dāng)needrestart以root權(quán)限運(yùn)行時(shí),將執(zhí)行攻擊者的代碼。
CVE-2024-48992漏洞與Ruby解釋器相關(guān),needrestart在處理RUBYLIB環(huán)境變量時(shí)存在缺陷,使得攻擊者能夠注入惡意庫(kù),并以root權(quán)限執(zhí)行任意Ruby代碼。
CVE-2024-10224漏洞涉及Perl的ScanDeps模塊,該模塊在處理文件名時(shí)存在不當(dāng)行為,攻擊者可以構(gòu)造特殊文件名,在打開(kāi)文件時(shí)以root權(quán)限執(zhí)行任意命令。
最后,CVE-2024-11003漏洞是由于needrestart對(duì)Perl的ScanDeps模塊的依賴,導(dǎo)致不安全地使用eval函數(shù),從而引發(fā)任意代碼執(zhí)行的風(fēng)險(xiǎn)。
值得注意的是,要利用這些漏洞,攻擊者必須首先對(duì)目標(biāo)系統(tǒng)進(jìn)行本地訪問(wèn),這在一定程度上限制了攻擊的范圍和可能性。
然而,為了確保系統(tǒng)的安全,建議用戶盡快將needrestart升級(jí)到3.8或更高版本,并修改needrestart.conf文件,禁用解釋器掃描功能,以防止這些漏洞被惡意利用。
