修复 Ubuntu 的 needrestart 工具包漏洞

关键要点

Ubuntu 用户被提醒安装更新，以修复 needrestart 工具包中的漏洞，这些漏洞可能使本地用户在不进行任何用户交互的情况下将权限升级为 root。

这五个漏洞由 Qualys 威胁研究单位 (TRU)
发现，并在星期二首次。受影响的工具 needrestart设计用于扫描系统，查找在安装、升级或删除新软件后需要重启的服务，从而避免完全重启系统的需求。

攻击者有可能利用 needrestart 以 root 权限运行的这一特点，通过 Qualys发现的四种方法之一来执行他们的代码，其中一种方法利用了两个独立的漏洞。

研究人员确定，这些漏洞自 0.8 版本以来就存在，该版本于 2014 年 4 月发布。此工具包可以在任意 Ubuntu 版本下手动安装，但自 2021 年
4 月发布的 21.04 版本以来，所有 Ubuntu Server 镜像默认也已安装此工具包。

Qualys 为所有影响 Ubuntu Server 的 needrestart漏洞开发了功能性利用，虽然他们选择不公开这些利用，但警告称，其他人可能会在漏洞公开后开发自己的利用方式。

前两种利用方法操控 needrestart 对 Python 或 Ruby 解释器的使用，诱导该工具运行攻击者的恶意代码。第三种利用方法结合了两个漏洞，利用
needrestart 用于分析 Perl 脚本的 libmodule-scandeps-perl 包中的漏洞。

Qualys 发现的所有漏洞的 CVSS 分数为 7.8，只有 CVE-2024-10224 的分数为 5.3。

Ubuntu 的维护者 Canonical 已经发布了，包括对 needrestart 和 libmodule-scandeps-perl漏洞的修复，并强烈建议用户应用这些更新以修复受影响的包。

这些修复对 Ubuntu Server 21.04 及更高版本的用户以及其他手动安装 needrestart 的桌面版 Ubuntu 用户都是必要的。

如果无法立即升级，则可以通过修改 needrestart 配置文件来禁用解释器扫描的使用，以缓解这些问题。Canonical警告称，这些修改可能会导致其他更新无法成功完成，且在漏洞的完整修复实施后需要恢复。