Linux UDisks守护进程曝本地提权漏洞CVE-2025-8067,PoC已发布
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
在Linux环境中,UDisks守护进程发现严重漏洞CVE-2025-8067,CVSS评分8.5。该漏洞允许非特权用户通过D-Bus创建循环设备,可能导致拒绝服务或本地提权。已在新版本中修复,建议用户立即更新以防利用。
🎯
关键要点
- 在Linux环境中,UDisks守护进程发现严重漏洞CVE-2025-8067,CVSS评分8.5。
- 该漏洞允许非特权用户通过D-Bus创建循环设备,可能导致拒绝服务或本地提权。
- 漏洞存在于UDisks守护进程处理循环设备创建请求的过程中,未验证下限值导致越界读取。
- 成功利用该漏洞可能导致守护进程崩溃(拒绝服务)或本地提权。
- 攻击者可能诱骗守护进程打开任意文件,暴露特权文件作为循环设备。
- 漏洞已在udisks2 2.10.91和udisks2 2.10.2版本中修复,建议用户立即更新。
❓
延伸问答
CVE-2025-8067漏洞的影响是什么?
该漏洞可能导致守护进程崩溃(拒绝服务)或本地提权,攻击者可以诱骗守护进程打开特权文件。
如何修复CVE-2025-8067漏洞?
用户和管理员应立即更新至udisks2 2.10.91或udisks2 2.10.2版本以防止漏洞利用。
CVE-2025-8067漏洞的CVSS评分是多少?
该漏洞的CVSS评分为8.5,属于严重漏洞。
CVE-2025-8067漏洞是如何被利用的?
攻击者可以通过D-Bus创建循环设备,利用未验证的下限值导致越界读取,从而触发漏洞。
UDisks守护进程的漏洞是在哪个版本中修复的?
漏洞已在udisks2 2.10.91和udisks2 2.10.2版本中修复。
CVE-2025-8067漏洞的概念验证代码是否已发布?
是的,目前已公开概念验证(PoC)代码,展示了如何利用该漏洞使UDisks守护进程崩溃。
➡️
