Ubuntu 已知漏洞修复与加固清单
一、快速处置流程
二、近期高危漏洞与修复要点
| 漏洞 | 影响组件 | 修复动作 | 备注 |
|---|---|---|---|
| CVE-2025-6019 | libblockdev/udisks2 | 升级到修复版本:libblockdev 3.3.0-2ubuntu0.1(25.04)、3.1.1-2ubuntu0.1(24.10)、3.1.1-1ubuntu0.1(24.04 LTS)、2.26-1ubuntu0.1(22.04 LTS)、2.23-2ubuntu3+esm1(20.04 LTS)、2.16-2ubuntu0.1~esm1(18.04 LTS);命令:sudo apt update && sudo apt install --only-upgrade libblockdev2 udisks2 | Ubuntu 不受 CVE-2025-6018 影响(未启用远程 PAM user_readenv=1) |
| CVE-2025-32462/CVE-2025-32463 | sudo | 升级 sudo ≥ 1.9.17p1;命令:sudo apt install --only-upgrade sudo;临时缓解:在 /etc/sudoers.d/mitigation 添加 Defaults !sudoedit,并设置 Defaults env_reset、Defaults env_delete += “EDITOR SUDO_EDIT” | 本地提权,尽快升级 |
| CVE-2025-32441/CVE-2025-46727 | Rack | 升级 Rack 相关包(Ubuntu 各 LTS 与 25.04 均受影响);命令:sudo apt update && sudo apt upgrade | Web 框架依赖,注意应用层同步更新 |
| CVE-2024-1086 | Linux 内核(nf_tables) | 升级内核至已修补版本;临时缓解:禁用 nf_tables 模块(创建 /etc/modprobe.d/nf_tables-blacklist.conf 写入 blacklist nf_tables 并重启),或限制 用户命名空间(Debian/Ubuntu:**echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf && sudo sysctl -p**) |
三、通用加固配置
四、验证与回退