11月21日消息，已存近日，久U交互即Qualys发现了Ubuntu Linux的本地needrestart程序中发现了五个本地权限提升（LPE）漏洞。

这些漏洞编号分别为CVE-2024-48990、提权CVE-2024-48991、漏洞CVE-2024-48992、曝光CVE-2024-10224和CVE-2024-11003，无需在2014年4月发布的权限needrestart 0.8版本中引入，并于日前的已存3.8版本中修复。

Needrestart是久U交互即Linux（包括Ubuntu Server）上常用的实用程序，用于识别包更新后需要重新启动的本地服务，确保这些服务运行最新版本的提权共享库。

这些漏洞允许对Linux系统具有本地访问权限的漏洞攻击者，无需用户交互即可将其权限提升到root权限。曝光

漏洞简介如下：

CVE-2024-48990：Needrestart使用PYTHONPATH环境变量执行Python解释器，无需攻击者可通过植入恶意共享库以root身份执行任意代码。

CVE-2024-48992：Needrestart使用的Ruby解释器处理RUBYLIB环境变量时存在漏洞，允许攻击者注入恶意库以root身份执行任意Ruby代码。

CVE-2024-48991：Needrestart中的竞争条件允许攻击者替换Python解释器二进制文件，诱骗needrestart以root身份运行其代码。

CVE-2024-10224：Perl的ScanDeps模块对文件名处理不当，攻击者可以制作类似于shell命令的文件名，以便在打开文件时以root身份执行任意命令。

CVE-2024-11003：Needrestart对Perl的ScanDeps模块的依赖使其面临不安全使用eval()函数导致的任意代码执行。

值得注意的是，想要利用这些漏洞，攻击者必须对操作系统进行本地访问，这在一定程度上降低了风险。

不过还是建议用户升级到3.8或更高版本，并修改needrestart.conf文件以禁用解释器扫描功能，防止漏洞被利用。

• ·[流言板]替补发力！雷吉突破上篮后再命中空位三分，76人10
• ·保时捷中国CEO：我们不会以价换量 两年后赢回中国市场
• ·一落千丈!瓦伦西亚14轮10分西甲倒2 总身价西甲第6&已5年无缘欧战
• ·东体：有几家中超球队在积极寻找归化，已将目光瞄准海外华裔球员
• ·国产大电视崛起！TCL 80寸以上市场份额超越三星
• ·尤文官方：坎比亚索左脚踝关节囊韧带轻度拉伤，将每日监测
• ·东体：用中后卫韩鹏飞替换攻击线的费南多，伊万的心思真猜不透
• ·苹果被提起4000万用户集体诉讼！索赔近280亿元
• ·[流言板]库里谈背靠背：我不打第二场的可能性很小，看膝盖伤病情况
• ·凯尔特人总裁：布拉德
• ·《午夜之南》游戏时长为15
• ·马竞对塞维利亚名单：格列兹曼、小蜘蛛、勒诺尔芒、莫利纳在列
• ·博主：陈戌源已被押送回沪，将在南汇监狱服刑
• ·尤文官方：坎比亚索左脚踝关节囊韧带轻度拉伤，将每日监测
• ·保时捷中国CEO：我们不会以价换量 两年后赢回中国市场
• ·保时捷中国CEO：我们不会以价换量 两年后赢回中国市场