竟长达10年未发现？Ubuntu系统“needrestart”工具曝5个本地提权漏洞

文章预览

近日，Ubuntu系统中的“needrestart”实用程序被曝出存在5个本地权限提升（LPE）漏洞，这些安全缺陷已潜伏10年之久未被发现。这些漏洞由安全公司Qualys发现，并被分配了CVE编号，从2014年4月的Needrestart 0.8版本中引入，直至2024年11月19日才在3.8版本中得到修复。 Ubuntu系统中的“needrestart”实用程序近日被曝出存在5个本地权限提升（LPE）漏洞，这些漏洞已潜藏10年未被发现。这些安全缺陷由Qualys安全研究团队发现，并被跟踪为CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。这些漏洞最早在2014年4月发布的Needrestart 0.8版本中引入，直到2024年11月19日才在3.8版本中得到修复。 这些漏洞允许攻击者在本地访问有漏洞的Linux系统时，在无需用户交互的情况下将权限提升至root。具体漏洞详情如下： - CVE-2024-48990：Needrestart使用从运行进程中提取的PYTHON ………………………………