影響 40% 用戶，Ubuntu 發(fā)行版被曝 2 個安全漏洞

IT之家 7 月 27 日消息，Wiz 的研究專家 S. Tzadik 和 S. Tamari 近日在 Ubuntu 系統(tǒng)中發(fā)現(xiàn)了 2 個安全漏洞，可以提升本地權(quán)限，預(yù)估影響 40% 的 Ubuntu 用戶。

IT之家根據(jù)博文內(nèi)容，匯總兩個漏洞內(nèi)容如下：

追蹤編號：CVE-2023-2640

該漏洞處于高危安全漏洞，CVSS v3 評分為 7.8 分（滿分 10 分，分數(shù)越高，代表越危險）。

該漏洞存在于 Ubuntu Linux 內(nèi)核中，利用權(quán)限檢查不充分的情況，允許本地攻擊者提升權(quán)限。

追蹤編號 CVE-2023-32629

該漏洞為中等嚴重漏洞，CVSS v3 評分為 5.4 分。該漏洞同樣存在于內(nèi)核中，訪問 VMA 時的競爭條件可能導(dǎo)致釋放后使用，從而允許本地攻擊者執(zhí)行任意代碼。

這兩位分析師在 Linux 內(nèi)核上對比 OverlayFS 模塊的差異后發(fā)現(xiàn)了這兩個提權(quán)漏洞。

OverlayFS 是一種聯(lián)合掛載文件系統(tǒng)實現(xiàn)，Ubuntu 作為使用 OverlayFS 的發(fā)行版之一，在 2018 年對其 OverlayFS 模塊進行了自定義更改，這些更改通常是安全的。

不過 Linux 內(nèi)核團隊分別在 2019 年和 2022 年調(diào)整了該模塊，導(dǎo)致和 Ubuntu 版本不兼容。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。