本地权限提升漏洞影响 needrestart 工具 Qualys 安全公告指出,needrestart 工具中存在多个本地权限提升漏洞(LPE),这些漏洞允许任何非特权用户获得 root 权限。needrestart 是一个 Perl 工具,自 Ubuntu Server 21.04 版本起默认安装,用于检查系统或服务是否需要重启。 主要漏洞包括: 1. CVE-2024-48990 和 CVE-2024-48992:攻击者可以通过控制 PYTHONPATH 或 RUBYLIB 环境变量,诱使 needrestart 运行 Python 或 Ruby 解释器,从而执行任意代码。 2. CVE-2024-48991:攻击者可以通过竞争条件,诱使 needrestart 运行攻击者伪造的 Python 解释器。 3. CVE-2024-10224 和 CVE-2024-11003:攻击者可以通过控制文件名,诱使 needrestart 调用 Perl 的 ScanDeps 模块时执行任意 shell 命令。 这些漏洞自 needrestart 0.8 版本(2014年4月)引入解释器支持以来就已存在。目前,Qualys 不会公开其利用代码,但警告其他研究人员可能会在协调发布后不久公开有效的利用方法。 缓解措施: 建议在 needrestart 配置中禁用解释器扫描功能: $nrconf{interpscan} = 0; 原文链接: Qualys Security Advisory 标签: #安全漏洞#Ubuntu#needrestart#LPE #AIGC
TGTGInsightаналитика telegramLIVE / telegram public index
TGINSIGHT SIMILAR POSTS
Найти похожее
Источник @procode404 · Post #3976 · 7 мар.
⌨️Основы Linux — серия коротких видео Мастхэв плейлист для всех разработчиков: автор рассказывает только про самые важные темы без кучи непонятных команд в терминале. 1. Какой линукс выбрать новичку — лучшие дистрибутивы [4:45] 2. Переменные окружения Linux | Как безопасно хранить данные для проекта [3:31] 3. Основы SSH и SCP в одном видео | Настройка для безопасной работы [2:34] 4. Базовое руководство по TMUX - Окна, панели и сеансы через SSH [6:03] 5. Vim — Основы редактора за 5 минут на простых примерах [5:54] 6. Как пользоваться консольным браузером ELINKS [4:43] 7. Установка Arch Linux с графической оболочкой XFCE [8:19] #linux
Hashtags
Результаты
Найдено 1 похожих постов
Поиск: #needrestart
当前筛选 #needrestart清除筛选