Linux搭建网站源码并非绝对安全 曝出两个高危漏洞

安全研究团队Qualys的威胁研究小组（TRU）披露了两个影响主流Linux发行版的严重本地权限提升漏洞（Local Privilege Escalation, LPE），分别编号为CVE-2025-6018和CVE-2025-6019。这两个漏洞可能被攻击者串联利用，最终实现从普通用户权限提升至系统最高权限（root），从而完全控制目标系统。

第一个漏洞CVE-2025-6018存在于openSUSE Leap 15和SUSE Linux Enterprise 15的可插拔认证模块（PAM）配置中。攻击者可以利用该漏洞获取“allow_active”级别的用户权限，这是一种在系统中具有部分特权的中间权限状态。

第二个漏洞CVE-2025-6019则存在于libblockdev库中，该库广泛用于现代Linux发行版中的磁盘管理操作。Qualys研究人员指出，拥有“allow_active”权限的攻击者可以通过调用默认运行的udisks守护进程进一步提权至root账户。这一过程无需复杂的交互，攻击门槛极低。

Qualys TRU高级经理Saeed Abbasi强调：“尽管理论上需要‘allow_active’权限作为前提条件，但udisks服务几乎存在于所有主流Linux发行版中，因此几乎所有系统都面临潜在威胁。”他进一步指出，攻击者只需具备基本的本地访问权限，即可通过组合这两个漏洞轻松获得系统最高控制权。

为了验证漏洞的可利用性，Qualys TRU已经开发出了概念验证（PoC）攻击代码，并成功在Ubuntu、Debian、Fedora以及openSUSE Leap 15等系统上实现了从普通用户到root用户的完整权限提升。

目前，受影响的厂商已开始发布补丁程序以修复这些漏洞。安全专家建议系统管理员尽快更新系统并审查本地用户权限策略，以降低潜在的安全风险。鉴于Linux系统广泛应用于服务器、云计算及嵌入式设备中，此次漏洞的曝光再次提醒业界加强内核与系统组件的安全审计工作。