💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
Ubuntu、RHEL 和 Fedora Linux 的核心转储程序存在信息泄露漏洞,可能导致用户密码被窃取。Ubuntu 已发布更新修复该漏洞,用户需及时升级,Debian 系统不受影响。
🎯
关键要点
- Ubuntu、RHEL 和 Fedora Linux 的核心转储程序存在信息泄露漏洞,可能导致用户密码被窃取。
- Ubuntu 已发布软件包更新修复该漏洞,用户需及时升级。
- Debian 系统不受影响,因为未默认安装 systemd-coredump 软件包。
- 漏洞编号为 CVE-2025-5054 和 CVE-2025-4598,均为竞争条件漏洞。
- 具有本地权限的攻击者可以利用这些漏洞窃取核心转储中的加密信息。
- RHEL 评估漏洞利用过程复杂,将 CVE-2025-4598 评为中危。
- Qualys 发布了概念验证代码,演示如何利用漏洞从 /etc/shadow 文件中获取哈希密码。
- 建议所有使用 Ubuntu 的用户检查并升级 apport 软件包,特别是无人值守升级功能在 Ubuntu 16.04 LTS 及更高版本中默认启用。
➡️
