IT 之家 7 月 27 日消息,Wiz 的研究專家 S. Tzadik 和 S. Tamari 近日在 Ubuntu 系統中發現了 2 個安全漏洞,可以提升本地權限,預估影響 40% 的 Ubuntu 用戶。
IT 之家根據博文内容,彙總兩個漏洞内容如下:
追蹤編号:CVE-2023-2640
該漏洞處于高危安全漏洞,CVSS v3 評分爲 7.8 分(滿分 10 分,分數越高,代表越危險)。
該漏洞存在于 Ubuntu Linux 内核中,利用權限檢查不充分的情況,允許本地攻擊者提升權限。
追蹤編号 CVE-2023-32629
該漏洞爲中等嚴重漏洞,CVSS v3 評分爲 5.4 分。該漏洞同樣存在于内核中,訪問 VMA 時的競争條件可能導緻釋放後使用,從而允許本地攻擊者執行任意代碼。
這兩位分析師在 Linux 内核上對比 OverlayFS 模塊的差異後發現了這兩個提權漏洞。
OverlayFS 是一種聯合挂載文件系統實現,Ubuntu 作爲使用 OverlayFS 的發行版之一,在 2018 年對其 OverlayFS 模塊進行了自定義更改,這些更改通常是安全的。
不過 Linux 内核團隊分别在 2019 年和 2022 年調整了該模塊,導緻和 Ubuntu 版本不兼容。