鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Ubuntu needrestart权限提升误差（CVE-2024-48990）

宣布时间 2024-11-21

一、误差概述

误差名称	Ubuntu needrestart权限提升误差
CVE ID	CVE-2024-48990
误差类型	LPE	发明时间	2024-11-21
误差评分	7.8	误差品级	高危
攻击向量	外地	所需权限	低
使用难度	低	用户交互	无
PoC/EXP	未果真	在野使用	未发明

needrestart 是Ubuntu 和其他基于 Debian 的 Linux 刊行版中常用的一个工具，，，，主要用于检测系统中是否有需要重启的效劳或内核模�？？？�。。。。它在软件包更新后运行，，，，资助治理员识别哪些效劳或历程需要重新启动以使更新生效。。。。

2024年11月21日，，，，鉴黑担保网集团VSRC监测到Ubuntu needrestart包中保存多个外地权限提升误差，，，，对目的系统具有外地会见权限的攻击者可使用这些误差在无需用户交互的情形下将权限提升到root，，，，现在这些误差的手艺细节已果真，，，，详情如下：

CVE-2024-48990：Needrestart 使用从正在运行的历程中提取的 PYTHONPATH 情形变量执行 Python 诠释器，，，，若是外地攻击者控制该变量，，，，可以通过植入恶意共享库在 Python 初始化时代以 root 身份执行恣意代码。。。。

CVE-2024-48992：needrestart 使用的 Ruby 诠释器在处置惩罚攻击者控制的 RUBYLIB 情形变量时保存误差，，，，允许外地攻击者通过向历程注入恶意库以 root 身份执行恣意 Ruby 代码。。。。

CVE-2024-48991：needrestart 中的竞争条件误差允许外地攻击者用恶意可执行文件替换正在验证的 Python 诠释器二进制文件，，，，诱骗 needrestart运行其伪 Python 诠释器，，，，从而以 root 身份执行恣意代码。。。。

CVE-2024-10224/ CVE-2024-11003：Module::ScanDeps Perl 模�？？？橛糜谄饰鲆览倒叵担�，，它允许用户通过 open() 挪用外部文件或执行下令，，，，由于它对输入缺乏严酷验证，，，，攻击者可以提供恶意输入：使用管道符号（例如将“commands|”作为文件名转达），，，，或将恣意字符勾转达给来运行恣意 shell 下令或Perl代码。。。。在 CVE-2024-11003 中，，，，needrestart 使用 Module::ScanDeps 来剖析依赖文件，，，，若是 needrestart 在以 root 权限运行时，，，，过失地将用户可控的输入（例如文件名）转达给 Module::ScanDeps，，，，就会以 root 特权触发 CVE-2024-10224误差。。。。

二、影响规模

受影响包版本

0.8 <= needrestart < 3.8

受影响Ubuntu刊行版

受影响Ubuntu版本	受影响包名	受影响包版本
Xenial (16.04)	needrestart	<= 2.6-1
Xenial (16.04)	libmodule-scandeps-perl	<= 1.20-1
Bionic (18.04)	needrestart	<= 3.1-1ubuntu0.1
Bionic (18.04)	libmodule-scandeps-perl	<= 1.24-1
Focal (20.04)	needrestart	<= 3.4-6ubuntu0.1
Focal (20.04)	libmodule-scandeps-perl	<= 1.27-1
Jammy (22.04)	needrestart	<= 3.5-5ubuntu2.1
Jammy (22.04)	libmodule-scandeps-perl	<= 1.31-1
Noble (24.04)	needrestart	<= 3.6-7ubuntu4.1
Noble (24.04)	libmodule-scandeps-perl	<= 1.35-1
Oracular (24.10)	needrestart	<= 3.6-8ubuntu4
Oracular (24.10)	libmodule-scandeps-perl	< 1.35-1

注：Jammy、Noble 和 Oracular 版本中needrestart 包是默认装置的，，，，因此这些版本的效劳器装置会受到影响。。。。只有手动装置了 needrestart 后，，，，Jammy 之前的桌面装置和默认 Ubuntu Server 装置才会受到影响。。。。

三、清静步伐

3.1 升级版本

现在这些误差已经修复，，，，受影响用户可将needrestart包更新到3.8或更高版本，，，，Ubuntu用户可将受影响包升级到以下响应版本：

Ubuntu刊行版	修复包版本	说明
Ubuntu 24.10	libmodule-scandeps-perl - 1.35-1ubuntu0.24.10.1 needrestart - 3.6-8ubuntu4.2	/
Ubuntu 24.04	libmodule-scandeps-perl - 1.35-1ubuntu0.24.04.1 needrestart - 3.6-7ubuntu4.3	/
Ubuntu 22.04	libmodule-scandeps-perl - 1.31-1ubuntu0.1 needrestart - 3.5-5ubuntu2.2	/
Ubuntu 20.04	libmodule-scandeps-perl - 1.27-1ubuntu0.1~esm1 needrestart - 3.4-6ubuntu0.1+esm1	适用于Ubuntu Pro
Ubuntu 18.04	libmodule-scandeps-perl - 1.24-1ubuntu0.1~esm1 needrestart - 3.1-1ubuntu0.1+esm1	适用于Ubuntu Pro
Ubuntu 16.04	libmodule-scandeps-perl - 1.20-1ubuntu0.1~esm1 needrestart - 2.6-1ubuntu0.1~esm1	适用于Ubuntu Pro

3.2 暂时步伐

1.Ubuntu系统上检查是否受到这些误差影响。。。。

在系统上运行以下下令并将列出的版本与上表举行较量：

apt list --installed | grep "^\(needrestart\|libmodule-scandeps-perl\)"

2.修复步伐。。。。

建议升级所有软件包：

sudo apt update && sudo apt upgrade

若是不可执行此操作，，，，可以针对受影响的组件举行以下操作：

sudo apt update && sudo apt install --only-upgrade needrestart libmodule-scandeps-perl

unattended-upgrades功效在Ubuntu 16.04 LTS 及更高版本中默认启用，，，，若是启用此功效，，，，上述补丁将在可用后 24 小时内自动应用。。。。

3.缓解步伐。。。。

修改/etc/needrestart/needrestart.conf 文件以禁用诠释器扫描功效，，，，从而避免误差被使用：

# Disable interpreter scanners.

$nrconf{interpscan} = 0;

3.3 通用建议

l 按期更新系统补�。。。。�，，镌汰系统误差，，，，提升效劳器的清静性。。。。

l 增强系统和网络的会见控制，，，，修改防火墙战略，，，，关闭非须要的应用端口或效劳，，，，镌汰将危险效劳（如SSH、RDP等）袒露到公网，，，，镌汰攻击面。。。。

l 使用企业级清静产品，，，，提升企业的网络清静性能。。。。

l 增强系统用户和权限治理，，，，启用多因素认证机制和最小权限原则，，，，用户和软件权限应坚持在最低限度。。。。

l 启用强密码战略并设置为按期修改。。。。

3.4 参考链接

https://ubuntu.com/blog/needrestart-local-privilege-escalation

https://ubuntu.com/security/notices/USN-7117-1

https://www.qualys.com/2024/11/19/needrestart/needrestart.txt

四、版本信息

版本	日期	备注
V1.0	2024-11-21	首次宣布

五、附录

5.1 鉴黑担保网简介

鉴黑担保网建设于1996年，，，，是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。。。。是海内最具实力的信息清静产品、清静效劳解决计划的领航企业之一。。。。

公司总部位于北京市中关村软件园鉴黑担保网大厦，，，，公司员工6000余人，，，，研发团队1200余人, 手艺效劳团队1300余人。。。。在天下各省、市、自治区设立分支机构六十多个，，，，拥有笼罩天下的销售系统、渠道系统和手艺支持系统。。。。公司于2010年6月23日在深圳中小板挂牌上市。。。。（股票代码：002439）

多年来，，，，鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，，，资助客户周全提升其IT基础设施的清静性和生产效能，，，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。。

5.2 关于鉴黑担保网

鉴黑担保网清静应急响应中心已宣布1000多个误差通告和危害预警，，，，我们将一连跟踪全球最新的网络清静事务和误差，，，，为企业的信息清静保驾护航。。。。

关注我们：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】