Debian 漏洞利用最新动态
正在被积极利用或高度活跃的漏洞
CVE-2025-38001 Linux HFSC Eltree 释放后使用(UAF):已在 Debian 12 公开 PoC,利用基于 RBTree 转换的页面级数据攻击实现本地提权;在 Ubuntu LTS 上因使用 Kmalloc 随机缓存 需少量修改即可复用。该漏洞具备跨内核版本的移植性,对容器与虚拟化环境同样构成现实威胁。建议尽快升级内核并限制非特权用户对网络/流量控制子系统的访问。
CVE-2025-32463 Sudo chroot 本地提权:影响 Sudo 1.9.14–1.9.17,在 Debian 若使用受影响版本同样存在风险;PoC 已公开,CVSS 9.3。漏洞源于 --chroot 路径解析缺陷,可在受控目录注入恶意 /etc/nsswitch.conf 触发任意库加载,绕过 sudoers 限制。缓解:升级至 1.9.17p1+,并启用 AppArmor/SELinux 限制 sudo 的 chroot 使用场景。
XZ Utils 后门 CVE-2024-3094 供应链遗留风险:尽管在 2024 年 3 月披露,至 2025 年 8 月仍发现至少 12 个 Debian 基础镜像暗藏恶意代码,“二阶”受感染镜像超 35 个,部分仓库的 latest 标签仍指向受污染版本,持续通过 Docker 依赖链扩散。建议全面盘点基础镜像来源与签名,避免使用未验证的 latest 标签。
近期披露但尚未见大规模在野利用
CVE-2025-6018 / CVE-2025-6019 组合链:其中 CVE-2025-6019(libblockdev) 影响 Debian 等主流发行版,若与具备 allow_active 权限的会话(如 CVE-2025-6018 在 SUSE 的 PAM 配置问题)串联,可实现本地提权;在 Debian 的默认配置下通常需本地交互触发。建议尽快更新 libblockdev/udisks 相关组件,并限制普通用户对挂载与磁盘操作的权限。
CVE-2024-1086 netfilter 释放后使用:潜伏约 10 年的高危本地提权漏洞,影响 Debian/Ubuntu 等,内核版本覆盖 3.15–6.8-rc1;今年 3 月技术细节与 PoC 公开后,已被勒索软件团伙用于获取 root。建议尽快升级至包含修复的内核版本,并最小化本地非特权用户的系统配置能力。
