Ubuntu Linux受十年旧'needrestart'漏洞影响，允许提权至root

2024-11-20 科技汇总

Source: Slashdot

在Linux工具'needrestart'中发现五个地方特权提升（LPE）漏洞，该工具在Ubuntu上广泛用于管理服务更新。

这些漏洞使得拥有本地访问权限的攻击者能够提权至root，漏洞由Qualys发现于needrestart版本0.8，并在版本3.8中修复。

具体漏洞包括：CVE-2024-48990允许攻击者通过控制PYTHONPATH环境变量执行任意代码；CVE-2024-48992涉及的Ruby解释器遭受恶意库注入；CVE-2024-48991中的竞态条件使攻击者能够替换Python解释器；CVE-2024-10224让攻击者利用特制文件名执行命令；CVE-2024-11003则显示Perl的ScanDeps模块本身也存在漏洞。

建议用户升级到3.8或更高版本，并修改needrestart.conf文件禁用解释器扫描功能，以防漏洞被利用。

在数字时代，安全不仅关乎技术，更应是每位用户的责任与自觉。

特别声明：本文及配图均为用户上传或者转载，本文仅代表作者个人观点和立场，不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。如发现稿件侵权，或作者不愿在本平台发布文章，请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to info@microheadline.com

来源：https://it.slashdot.org/story/24/11/21/0057206/ubuntu-linux-impacted-by-decade-old-needrestart-flaw-that-gives-root?utm_source=rss1.0mainlinkanon&utm_medium=feed https://ubuntu.com/blog/needrestart-local-privilege-escalation https://cyber.vumetric.com/security-news/2024/11/20/ubuntu-linux-impacted-by-decade-old-needrestart-flaw-that-gives-root/

更多阅读

Ubuntu Linux受十年旧'needrestart'漏洞影响，允许提权至root

《Half-Life 2》庆祝20周年，推出大型更新（音频）

问Slashdot：AI编程工具是否扼杀了编程的乐趣？（音频）

Palantir宣布转向纳斯达克后股价飙升至新高

《魔兽争霸》I和II重制版现已发布，尽显经典风采

联邦贸易委员会报告称不必要电话投诉自2021年以来下降50%

复古计算机爱好者修复美泰公司48年前的掌中宝游戏机

Palantir宣布转向纳斯达克后股价飙升至新高（音频）

Virgin Media O2 部署人工智能诱饵，浪费诈骗者时间（音频）

OpenAI考虑通过网页浏览器与谷歌展开正面竞争（音频）

问Slashdot：AI编程工具是否扼杀了编程的乐趣？

18个州要求SEC停止加密货币监管执法

18个州要求SEC停止加密货币监管执法（音频）

联邦贸易委员会报告称不必要电话投诉自2021年以来下降50%（音频）

Bluesky 表示不会利用用户帖子训练AI（音频）

索尼经历了糟糕的一年，游戏与电影业务面临挑战