Ubuntu 最新漏洞与利用态势
一、重点漏洞与利用概况
CVE-2025-5054(Apport 核心转储竞态):在 apport ≤ 2.32.0 中,利用 PID 重用 + 命名空间 的竞态,可能导致特权进程崩溃转储被转发到攻击者控制的命名空间,泄露敏感内存内容;CVSS 4.7。Qualys 已给出 PoC,能从崩溃的 unix_chkpwd 转储中提取 /etc/shadow 哈希;Canonical 评估实际影响有限,主要限于被调用 SUID 可执行文件的内存机密性。注意:CVE-2025-4598(systemd-coredump 竞态)不影响 Ubuntu。缓解:优先升级 apport;如短期无法修补,可临时设置 /proc/sys/fs/suid_dumpable=0 禁用 SUID 核心转储(会降低崩溃取证能力)。
内核 af_UNIX UAF 本地提权(TyphoonPWN 2025 披露):源于 af_UNIX 引用计数失衡 导致的 释放后重用(UAF),影响 Ubuntu 24.04.2(内核 6.8.0-60-generic);攻击者可用 FUSE + 环回套接字喷洒 实现跨缓存攻击,结合 预取侧信道 绕过 KASLR,最终通过覆盖 modprobe_path 获取 root。Canonical 已于 2025-09-18 发布修复内核(≥ 6.8.0-61)。建议立即升级并重启到修复内核。
CVE-2025-6018 / CVE-2025-6019(组合型本地提权链):其中 CVE-2025-6019 为跨发行版本地提权问题,源于 libblockdev 在挂载时未正确应用 nosuid,导致挂载文件系统保留 SUID 位;与 CVE-2025-6018 的 PAM/Polkit allow_active 权限(在 SUSE 默认配置下可远程触发)组合,可在相应环境中实现提权。对 Ubuntu/Debian/Fedora 的默认配置,表现为本地交互提权。修复:更新系统(含 libblockdev/udisks 等依赖),避免普通用户执行 nft 等网络配置命令,限制 polkit 授权粒度。
EDK II 固件回归(USN-7894-1):Ubuntu 22.04/24.04 LTS 的 UEFI 固件(EDK II/OVMF/QEMU-EFI) 更新引入 UEFI 网络引导回归,已暂时回退 CVE-2023-45236/45237 等修复;需重启虚拟机使修复生效。影响面为虚拟化/云环境,建议评估业务中断窗口并关注后续 USN 更新。
二、受影响范围与处置优先级
| 漏洞/组件 | 受影响版本或场景 | 利用前提 | 处置优先级 |
|---|---|---|---|
| CVE-2025-5054(Apport) | 使用 apport ≤ 2.32.0 的 Ubuntu 系统 | 本地用户,诱导特权进程崩溃并赢得竞态 | 高(尽快升级 apport) |
| 内核 af_UNIX UAF | Ubuntu 24.04.2(6.8.0-60-generic) | 本地用户,可运行自定义程序 | 最高(立即升级内核并重启) |
| CVE-2025-6019(libblockdev) | 使用 libblockdev/udisks 的 Ubuntu/Debian/Fedora | 本地交互,能挂载文件系统 | 高(更新相关包并收紧挂载权限) |
| EDK II 回归(USN-7894-1) | 22.04/24.04 LTS 虚拟机(OVMF/QEMU-EFI) | 依赖 UEFI 网络引导的虚拟化场景 | 中(评估窗口,关注 USN 后续修复) |
| 注:上表优先级综合了本地可利用性、影响程度与修复可用性。 |
三、立即执行的加固与检测
四、威胁研判