HackerNews 编译，转载请注明出处： Ubuntu 的 CVE-2026-3888 漏洞使得攻击者能够通过 systemd 定时机制漏洞获取 root 权限，该漏洞对 Ubuntu 桌面版 24.04 及更高版本造成严重影响。 Qualys 的研究人员在 Ubuntu 桌面版 24.04 及更高版本中发现了一个高危漏洞，编号为 CVE-2026-3888（通用漏洞评分系统（CVSS）得分为 7.8）。攻击者可以利用 systemd 清理过程中的一个定时问题，将权限提升至 root，从而有可能完全控制存在漏洞的系统。 该漏洞依赖于一个 10 至 30 天的清理窗口期，但最终可能导致整个系统被攻陷。它源于 snap-confine 对特权执行的管理方式，以及 systemd-tmpfiles 删除旧临时文件的机制。 安全公告中写道：“Qualys 威胁研究小组发现了一个本地提权（LPE）漏洞，该漏洞影响 Ubuntu 桌面版 24.04 及更高版本的默认安装。这个漏洞（CVE-2026-3888）允许无特权的本地攻击者通过两个标准系统组件 snap-confine 和 systemd-tmpfiles 的相互作用，将权限提升至完全的 root 访问权限。” “虽然利用该漏洞需要特定的基于时间的窗口（10 至 30 天），但最终结果是主机系统被完全攻陷。” CVE-2026-3888 影响 Ubuntu 的 snap 系统，涉及两个组件：snap-confine 和 systemd-tmpfiles。snap-confine 用于设置安全的应用程序环境，而 systemd-tmpfiles 则用于清理临时文件。漏洞发生的过程如下：攻击者等待一个关键文件夹被删除，然后用恶意文件重新创建该文件夹。当 snap-confine 随后初始化沙盒时，它会以 root 权限挂载这些文件，从而实现权限提升。该漏洞被评定为高危（CVSS 评分为 7.8），攻击需要本地访问权限并把握好时间，但可能导致整个系统被攻陷，影响系统的保密性、完整性和可用性。 Qualys 发布的报告中写道：“虽然 CVSS 评分反映出该漏洞严重性为高，但由于攻击链中固有的时间延迟机制，攻击复杂度也很高。在默认配置中，systemd-tmpfiles 计划删除 /tmp 中的陈旧数据。攻击者可以通过操纵这些清理周期的时间来利用这一点。具体而言，攻击向量包括： 在下一次沙盒初始化期间，snap-confine 会以 root 权限绑定挂载这些文件，从而允许在特权环境中执行任意代码。” 攻击者必须等待系统的清理守护进程（Ubuntu 24.04 中为 30 天；更高版本中为 10 天）删除 snap-confine 所需的关键目录。 一旦该目录被删除，攻击者就用恶意有效载荷重新创建该目录。 多个 snapd 版本易受 CVE-2026-3888 漏洞影响。运行 Ubuntu 桌面版 24.04 及更高版本的系统应立即更新到已打补丁的版本（2.73 及更高版本）。低于 2.75 的上游版本也受到影响。虽然较旧的 Ubuntu 版本默认情况下不受此漏洞影响，但建议安装补丁，以降低非标准配置下的风险。 此外，研究人员还在 uutils coreutils 软件包中发现了一个单独的漏洞，并在 Ubuntu 25.10 发布前与 Ubuntu 安全团队合作将其修复。 安全公告继续指出：“rm 实用程序中的一个竞态条件允许无特权的本地攻击者在 root 拥有的 cron 执行期间用符号链接替换目录项。成功利用此漏洞可能导致以 root 身份任意删除文件，或者通过针对 snap 沙盒目录进一步提升权限。该漏洞在 Ubuntu 25.10 公开发布前已被报告并缓解。Ubuntu 25.10 中的默认 rm 命令已恢复为 GNU coreutils，以立即降低此风险。此后，上游修复已应用于 uutils 代码库。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Ubuntu 22.04 打印子系统中的一个漏洞被发现，该漏洞位于 “ippusbxd” 包中，可能允许攻击者在锁定的笔记本电脑上执行任意代码。 不过，现代编译器的功能缓解了这一风险，防止了漏洞被利用到系统崩溃之外的程度。该漏洞是在对 macOS 打印子系统的代码审计中发现的，macOS 的打印子系统与开源的 CUPS 包有共同的基础。 Talos 研究人员将注意力转向了 IPP-USB 协议，该协议通过互联网打印协议（IPP）为通过 USB 连接的打印机启用网络打印。Ubuntu 22.04 中负责处理 IPP-USB 功能的 “ippusbxd” 包成为了调查的重点。 在检查代码时，由 “-Wstringop-overflow” 标志触发的编译器警告显示，get_format_paper 函数可能存在缓冲区溢出漏洞。该函数解析打印机在初始化时报告的纸张尺寸信息，漏洞源于使用了以源操作数的长度而不是目标缓冲区的大小为长度参数的 strncpy。 攻击者可以通过连接一个报告超大媒体尺寸的恶意打印机来利用这一漏洞，从而导致缓冲区溢出。Talos 情报的 Aleksandar Nikolich 通过分析代码上下文确认了该漏洞，揭示了一个精心设计的 “media-size-supported” 负载可以覆盖堆栈缓冲区。在锁定的笔记本电脑上利用这一漏洞，攻击者可以以提升的权限执行任意代码。 研究人员开发了一个概念验证（PoC）漏洞利用，使用 Raspberry Pi Zero 模拟 USB 打印机来展示该漏洞的潜在危害。通过修改 PAPPL 打印机小工具，模拟的打印机被配置为使用名为 “EXPLOIT_STRING” 的环境变量报告恶意媒体尺寸。当将 Raspberry Pi Zero 连接到目标 Ubuntu 机器时，ippusbxd 守护进程因段错误而崩溃，确认了漏洞的触发。 然而，进一步分析崩溃情况发现，由于编译器功能 “FORTIFY_SOURCE” 的存在，预期的内存损坏和潜在的代码执行被阻止。该功能会自动将潜在不安全的函数替换为更安全的替代品，并在缓冲区溢出发生之前检测到该条件。因此，该漏洞的影响仅限于导致系统崩溃，因为程序会在检测到溢出时明确终止。 研究人员强调，这一事件凸显了现代编译器功能（如静态分析）以及强大的缓解技术（如 “FORTIFY_SOURCE”）的重要性。当默认启用这些功能时，它们可以有效防止漏洞的利用。此外，该事件也强调了在开发过程中积极解决编译器警告的重要性。 在这一特定案例中，该漏洞的潜在影响进一步被削弱，因为 “ippusbxd” 包已被 “ipp-usb” 包取代。新包是用内存安全语言实现的，消除了缓冲区溢出的风险。尽管 Ubuntu 22.04 作为长期支持版本是一个例外，但较新的版本已转向使用 “ipp-usb”。 用户建议 Ubuntu 22.04 LTS 用户：确保安装了 ipp-usb，并在存在时移除 ippusbxd。 所有系统：通过运行 sudo apt update && sudo apt upgrade 应用更新，并重启打印服务。 物理安全：限制 USB 设备的访问，以防止未经授权的硬件连接。   消息来源：Cyber Security News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Ubuntu Server（自 21.04 版起）默认安装的 needrestart 包中被发现存在多个已有十年历史的安全漏洞，这些漏洞可能允许本地攻击者在无需用户交互的情况下获得 root 权限。 Qualys 威胁研究部门 (TRU)于上个月初发现并报告了这些漏洞，并表示这些漏洞很容易被利用，因此用户必须迅速采取行动来修复。 据信这些漏洞自 2014 年 4 月 27 日发布的needrestart 0.8引入解释器支持以来就一直存在。 Ubuntu 在一份公告中表示：“这些 needrestart 漏洞允许本地特权升级 (LPE)，这意味着本地攻击者能够获得 root 权限” ，并指出这些问题已在 3.8 版中得到解决。“这些漏洞影响 Debian、Ubuntu 和其他 Linux 发行版。” Needrestart 是一个实用程序，它可以扫描系统以确定在应用共享库更新后需要重新启动的服务，以避免整个系统重新启动。 具体来说，如果服务正在使用过时的共享库（例如在软件包更新期间替换库），它会标记服务以进行重新启动。 由于它集成到服务器映像中，因此 needrestart 设置为在 APT 操作（如安装、升级或删除，包括无人值守升级）后自动运行。其主要作用是识别在关键库更新后需要重新启动的服务，例如 C 库 (glibc)。此过程可确保服务使用最新的库版本，而无需完全重启系统，从而提高正常运行时间和性能。 通过使用最新的库及时更新服务，needrestart 对于维护 Ubuntu Server 的安全性和效率至关重要。 Qualys 威胁研究部门发现的5个漏洞： CVE-2024-48990（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 PYTHONPATH 环境变量运行 Python     解释器，从而以 root 身份执行任意代码 CVE-2024-48991（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过赢得竞争条件并诱骗 needrestart 运行自己的伪 Python 解释器，以 root     身份执行任意代码 CVE-2024-48992（CVSS 评分：7.8） – 该漏洞允许本地攻击者通过诱骗 needrestart 使用攻击者控制的 RUBYLIB 环境变量运行 Ruby 解释器，从而以     root 身份执行任意代码 CVE-2024-11003（CVSS 评分：7.8）和CVE-2024-10224（CVSS 评分：5.3）- 这两个漏洞允许本地攻击者利用libmodule-scandeps-perl 软件包（版本 1.36 之前）中的问题以 root 身份执行任意 shell 命令 成功利用上述缺陷可以允许本地攻击者为 PYTHONPATH 或 RUBYLIB 设置特 制的环境变量，从而导致在运行 needrestart 时执行指向攻击者环境的任意代码。 Ubuntu 指出：“在 CVE-2024-10224 中，[…] 攻击者控制的输入可能导致 Module::ScanDeps Perl 模块通过 open() 一个‘讨厌的管道’（例如通过传递‘commands|’作为文件名）或通过将任意字符串传递给 eval() 来运行任意 shell 命令。” “就其本身而言，这不足以实现本地权限提升。然而，在 CVE-2024-11003 中，needrestart 将攻击者控制的输入（文件名）传递给 Module::ScanDeps，并以 root 权限触发CVE-2024-10224。CVE-2024-11003 的修复消除了 needrestart 对 Module::ScanDeps 的依赖。” 虽然强烈建议用户下载最新的补丁，Ubuntu 表示用户可以根据需要禁用解释器扫描器，重新启动配置文件作为临时缓解措施，并确保在应用更新后恢复更改。 Qualys 公司 TRU 产品经理 Saeed Abbasi 表示：“needrestart 实用程序中的这些漏洞允许本地用户通过在软件包安装或升级期间执行任意代码来提升其权限，其中 needrestart 通常以 root 用户身份运行。” “利用这些漏洞的攻击者可以获得 root 访问权限，从而损害系统完整性和安全性。” 参考漏洞公告: https://blog.qualys.com/vulnerabilities-threat-research/2024/11/19/qualys-tru-uncovers-five-local-privilege-escalation-vulnerabilities-in-needrestart https://ubuntu.com/blog/needrestart-local-privilege-escalation       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VzdXqbGwPXAfqoXZi_9mxA 封面来源于网络，如有侵权请联系删除