Ubuntu 近期漏洞与利用动态
近期 Ubuntu 相关的漏洞利用动态主要集中在本地提权与信息泄露两类,覆盖内核、系统组件与调试处理链,部分漏洞已有公开 PoC,风险较高。
近期值得关注的漏洞与利用趋势
- CVE-2025-5054(Apport):Ubuntu 的崩溃报告组件 Apport 存在本地竞争条件,可被利用绕过限制读取 SUID 程序(如 unix_chkpwd)的核心转储,进而泄露密码哈希等敏感数据;影响范围覆盖 Ubuntu 16.04 至 24.04(Apport ≤ 2.33.0)。官方建议临时将 /proc/sys/fs/suid_dumpable 设为 0 以禁用 SUID 程序核心转储,随后尽快升级 Apport 修复。该漏洞由 Qualys TRU 披露并给出 PoC,风险等级高。
- af_unix UAF 本地提权(内核):在 TyphoonPWN 2025 披露,源于 af_unix 子系统引用计数失衡导致的释放后重用(UAF),影响 Ubuntu 24.04.2(内核 6.8.0-60-generic)。攻击者可通过构造 OOB 套接字与 FUSE 时序配合,实现 RIP/RDI 劫持与 modprobe_path 覆盖,最终获取 root。Canonical 于 2025-09-18 发布修复,建议升级至 6.8.0-61 或更高版本内核。
- CVE-2025-6018 / CVE-2025-6019(PAM + libblockdev/udisks2):两项漏洞可链式组合实现本地提权。CVE-2025-6018 为 SUSE 系特有的 PAM 配置问题;CVE-2025-6019 影响 libblockdev/udisks2,在默认策略下允许经认证的本地用户通过挂载操作获得 root。Ubuntu 不受 CVE-2025-6018 影响,但仍需修复 CVE-2025-6019(更新 libblockdev/udisks2 并收紧 polkit 规则)。
- CVE-2025-32462 / CVE-2025-32463(Sudo):Sudo 本地提权漏洞组合。CVE-2025-32462 允许在特定 sudoers 配置下通过 -h 参数绕过主机访问控制;CVE-2025-32463 通过 -R/–chroot 提前解析根目录劫持 libnss 动态库。影响 Sudo 1.8.8–1.9.17,安全版本为 ≥1.9.17p1;Ubuntu 24.04 LTS 默认受影响,建议升级 sudo 并验证版本不低于 1.9.15p5-3ubuntu5.24.04.1。
快速自查与修复要点
- 内核与系统更新:优先升级内核与相关组件(如 Apport、libblockdev、udisks2、sudo)。示例:sudo apt update && sudo apt install linux-generic apport libblockdev2 udisks2 sudo -y;重启后核对版本与内核。
- 临时缓解措施:在无法立即修补前,针对 CVE-2025-5054 可将 /proc/sys/fs/suid_dumpable=0(注意对调试与取证的影响,修复后应恢复为合适值)。
- 加固策略:收紧 polkit 规则(如将 org.freedesktop.udisks2.modify-device 设为需管理员认证)、限制 sudo 授权与命令白名单、最小化 SUID 二进制、加强 SSH 登录安全(禁用 root 密码登录、启用密钥与来源限制)。
