IT之家 9小时前
Ubuntu 发行版修复 5 个本地提权漏洞,已潜伏 10 年
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

IT 之家 11 月 22 日消息,科技媒体 bleepingcomputer 于 11 月 20 日发布博文,报道称 Ubuntu Linux 发行版中潜伏 10 年的漏洞被发现,攻击者利用这些漏洞可以提升本地权限至   root   级别。

Qualys 发现了这 5 个漏洞存在于 needrestart 实用工具中,追踪编号分别为 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。

needrestart 是一个用于检查在库升级后哪些守护进程需要重新启动的实用程序,这些漏洞于 2014 年 4 月发布的 needrestart 0.8 版本中引入,在 2024 年 11 月 19 日发布的 3.8 版本中才修复。IT 之家简要介绍下 5   个漏洞如下:

CVE-2024-48990 和 CVE-2024-48992: 攻击者可通过控制 PYTHONPATH 和 RUBYLIB 环境变量,注入恶意共享库,从而在 Python 和 Ruby 解释器初始化期间执行任意代码。

CVE-2024-48991: 利用 needrestart 中的竞争条件,攻击者可以替换 Python 解释器二进制文件,从而执行恶意代码。

CVE-2024-10224: needrestart 使用的 Perl ScanDeps 模块对攻击者提供的文件名处理不当,允许攻击者构造类似 shell 命令的文件名来执行任意命令。

CVE-2024-11003: ScanDeps 模块中不安全的使用 eval ( ) 函数,导致在处理攻击者控制的输入时可能执行任意代码。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

逗玩.AI

逗玩.AI

ZAKER旗下AI智能创作平台

相关标签

ubuntu it之家 python linux 潜伏
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论