研究专家S Tzadik和S Tamari近日在Ubuntu系统中发现了两个安全漏洞,这
2023-07-28
(资料图片)
研究专家S. Tzadik和S. Tamari近日在Ubuntu系统中发现了两个安全漏洞,这两个漏洞可能会影响到40%的Ubuntu用户,使得本地攻击者可以提升权限。 第一个漏洞的追踪编号为CVE-2023-2640,被评为高危安全漏洞,CVSS v3评分为7.8分(满分10分,分数越高,代表越危险)。这个漏洞存在于Ubuntu Linux内核中,由于权限检查不充分,本地攻击者可以利用这个漏洞提升权限。 第二个漏洞的追踪编号为CVE-2023-32629,被评为中等严重漏洞,CVSS v3评分为5.4分。这个漏洞同样存在于内核中,由于访问VMA时的竞争条件可能导致释放后使用,本地攻击者可以利用这个漏洞执行任意代码。 这两个漏洞是这两位分析师在对比Linux内核上的OverlayFS模块的差异后发现的。OverlayFS是一种联合挂载文件系统实现,Ubuntu作为使用OverlayFS的发行版之一,在2018年对其OverlayFS模块进行了自定义更改,这些更改通常是安全的。然而,Linux内核团队在2019年和2022年对该模块进行了调整,导致与Ubuntu版本不兼容。
