7 月 27 日消息，Wiz 的研究專家 S. Tzadik 和 S. Tamari 近日在 Ubuntu 系統(tǒng)中發(fā)現(xiàn)了 2 個(gè)安全漏洞，可以提升本地權(quán)限，預(yù)估影響 40% 的 Ubuntu 用戶。

IT之家根據(jù)博文內(nèi)容，匯總兩個(gè)漏洞內(nèi)容如下：

追蹤編號(hào)：CVE-2023-2640

該漏洞處于高危安全漏洞，CVSS v3 評(píng)分為 7.8 分（滿分 10 分，分?jǐn)?shù)越高，代表越危險(xiǎn)）。

該漏洞存在于 Ubuntu Linux 內(nèi)核中，利用權(quán)限檢查不充分的情況，允許本地攻擊者提升權(quán)限。

追蹤編號(hào) CVE-2023-32629

該漏洞為中等嚴(yán)重漏洞，CVSS v3 評(píng)分為 5.4 分。該漏洞同樣存在于內(nèi)核中，訪問 VMA 時(shí)的競(jìng)爭條件可能導(dǎo)致釋放后使用，從而允許本地攻擊者執(zhí)行任意代碼。

這兩位分析師在 Linux 內(nèi)核上對(duì)比 OverlayFS 模塊的差異后發(fā)現(xiàn)了這兩個(gè)提權(quán)漏洞。

OverlayFS 是一種聯(lián)合掛載文件系統(tǒng)實(shí)現(xiàn)，Ubuntu 作為使用 OverlayFS 的發(fā)行版之一，在 2018 年對(duì)其 OverlayFS 模塊進(jìn)行了自定義更改，這些更改通常是安全的。

不過 Linux 內(nèi)核團(tuán)隊(duì)分別在 2019 年和 2022 年調(diào)整了該模塊，導(dǎo)致和 Ubuntu 版本不兼容。