今天分享兩個6月17號Qualys研究團隊披露了公布的Linux漏洞。

1. 漏洞介紹

• CVE?2025?6018：利用 PAM 配置誤用，SSH 登錄的普通用戶可冒充本地物理用戶（allow_active），并執(zhí)行 polkit 授權(quán)操作。
• CVE?2025?6019：結(jié)合 libblockdev 與 udisks 模塊缺陷，可在普通用戶（已具備 allow_active）條件下，通過掛載惡意 XFS 鏡像拿到 SUID-root Shell，從而躋身系統(tǒng) Root。
• 雙鏈條合體：先通過 CVE?2025?6018 獲得 allow_active，再借助 CVE?2025?6019 提升至 root，整個鏈條可在主流 Linux 發(fā)行版（SUSE、Ubuntu、Debian、Fedora、AlmaLinux……）上復(fù)現(xiàn)。

2. 漏洞原理

(1) CVE?2025?6018：PAM 環(huán)境變量誤讀

• openSUSE Leap 15 / SUSE Linux Enterprise 15 默認啟用了 pam_env 的 user_readenv=1，導(dǎo)致登錄時直接讀取用戶 ~/.pam_environment。
• 攻擊者可設(shè)置環(huán)境變量如 XDG_SEAT、XDG_VTNR，繞過 pam_systemd 判斷，冒充“本地”用戶，從而獲得 allow_active 權(quán)限。

(2) CVE?2025?6019：udisks 免 nosuid/nodev 掛載缺陷

• 在 udisks2 調(diào)用 libblockdev 執(zhí)行 XFS 文件系統(tǒng)擴展操作時，掛載點默認缺少 nosuid 和 nodev 限制。
• 攻擊者可準備 XFS 鏡像中包含 SUID-root 程序，通過 loop-mount 再執(zhí)行，即刻奪取 root 權(quán)限。

3. 受影響范圍

Ubuntu 自 18.04/20.04/22.04 等版本起，已對 libblockdev 和 udisks2 發(fā)布修復(fù)補丁。默認配置下不受 CVE?2025?6018 影響，但某些定制 PAM 配置仍然有風(fēng)險。

Debian、Red Hat、AlmaLinux 等社區(qū)紛紛上線應(yīng)急更新。

4. 防范措施建議

(1) 立即更新系統(tǒng)軟件

SUSE 用戶更新 PAM 或調(diào)整 /etc/pam.d/* 棧中 pam_env 配置，確保 user_readenv=0 或移除。

Ubuntu/Debian/Fedora/AlmaLinux 等用戶請盡快安裝 libblockdev 與 udisks2 的安全補丁。

(2) 調(diào)整 Polkit 授權(quán)策略

修改 /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy 中 org.freedesktop.udisks2.modify-device 授權(quán)，將 allow_active 改為 auth_admin。

(3) 強化權(quán)限與配置審計

審查 PAM 配置文件，移除可能的 user_readenv 配置。

監(jiān)控 /tmp/loop… 臨時掛載、不明 SUID shell 文件生成行為。

(4) 隔離 SSH 與 GUI 登錄權(quán)限

對 SSH 登錄用戶進行最小權(quán)限策略，避免給予 GUI 本地權(quán)限（例如通過 pam_systemd 模塊）。

這兩個漏洞組合形成了從普通賬號到 root 的完整提權(quán)鏈條，運維工程師們不能掉以輕心，引起足夠重視，記得做好提前備份。