腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Linux 本地权限提升漏洞风险通告(CVE-2025-6018, CVE-2025-6019)
尊敬的腾讯云用户,您好!
腾讯云安全中心监测到,Linux 系统被披露其存在本地权限提升漏洞,漏洞编号分别为CVE-2025-6018, CVE-2025-6019。可导致本地普通用户提升权限至 root 权限等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2025-6018:
Linux PAM,即可插拔认证模块,是 Linux/Unix 系统的核心安全框架,用于集中管理用户认证与权限控制。
在 Linux 操作系统的 PAM(可插拔认证模块)配置中,由于系统错误地将远程 SSH 会话识别为 allow_active 用户会话,导致攻击者能以普通本地用户身份绕过权限检查,通过默认 polkit 策略执行本应仅限本地控制台用户的操作(如存储设备管理)。
CVE-2025-6019:
UDisks 是一个开源的 Linux 磁盘管理守护进程,属于主流 Linux 发行版的核心组件之一。
在大多数 Linux 操作系统中,UDisks 服务默认运行,主要提供 D-Bus 接口用于存储管理(挂载、查询、格式化等),并且在底层调用 libblockdev 库,但由于 libblockdev 库存在权限校验缺陷,导致经过身份验证的具有 allow_active 权限(可利用 Linux PAM 本地权限提升漏洞(CVE-2025-6018)获得该权限)的本地攻击者通过构造恶意存储操作请求(如伪造设备挂载)提升权限至 root 权限等。
风险等级
高风险
漏洞风险
本地普通用户利用该漏洞可提升权限至 root 权限等危害。
影响版本
CVE-2025-6018:
openSUSE Leap 15
SUSE Linux Enterprise 15
CVE-2025-6019:
Ubuntu、Debian、Fedora、openSUSE 等主流发行版
TencentOS Server 4:libblockdev <= 3.1.0-3、udisks2 <= 2.10.0-5
TencentOS Server 3:libblockdev <= 2.28-6、udisks2 <= 2.9.0-16
TencentOS Server 2:libblockdev <= 2.18-4、udisks2 <= 2.8.4-1
安全版本
CVE-2025-6018:
https://www.suse.com/security/cve/CVE-2025-6018.html
CVE-2025-6019:
libblockdev >= 3.3.1
libblockdev 3.x 稳定版 >= 3.2.2
libblockdev 2.x 稳定版 >= 2.30
Ubuntu:
libblockdev 18.04 LTS:2.16-2ubuntu0.1~esm1
libblockdev 20.04 LTS:2.23-2ubuntu3+esm1
libblockdev 22.04 LTS:2.26-1ubuntu0.1 或更高版本
libblockdev 24.04 LTS:3.1.1-1ubuntu0.1 或更高版本
udisks2 18.04 LTS 2.10.1-6ubuntu1.2 或更高版本
udisks2 20.04 LTS 2.9.4-1ubuntu2.2 或更高版本
udisks2 22.04 LTS 2.8.4-1ubuntu2+esm1 或更高版本
udisks2 24.04 LTS 2.7.6-3ubuntu0.2+esm1 或更高版本
RHEL/CentOS:
RHEL 8:libblockdev-2.28-7.el8_10 或更高版本
RHEL 9:libblockdev-2.28-14.el9_6 或更高版本
RHEL 10:libblockdev-3.2.0-4.el10_0 或更高版本
TencentOS Server 4:libblockdev >= 3.1.0-4.tl4、udisks2 >= 2.10.0-6.tl4
TencentOS Server 3:libblockdev >= 2.28-6.tl3.1、udisks2 >= 2.9.0-16.tl3.1
TencentOS Server 2:libblockdev >= 2.18-5.tl2.1、udisks2 >= 2.8.4-1.tl2.1
检测方法
1. 针对 CVE-2025-6018 漏洞的检测:
若用户自定义修改了 PAM 组件配置,可登录环境并执行以下命令进行检查:
(1) 确认是否安装组件 PAM:
rpm -qi pam #检查是否安装 PAM
若未安装则不受影响。
若已安装需要执行下一步。
(2) 已安装 PAM 情况下,检查设置:
#若已安装 PAM,请检查有无如下设置:
grep -nir "user_readenv" /etc/pam.d/
若输出结果为空或 user_readenv 不为1,则不受影响。
若 user_readenv 为1则受影响,请立即修复或采取临时缓解措施。
2. 针对 CVE-2025-6019 漏洞的检测:
(1) 执行以下命令查询 udisks2 是否安装:
rpm -q --qf '%{version}-%{release}\n' udisks2
若输出 "package udisks2 is not installed" 或无版本信息,则未安装,不受影响。
TencentOS Server 4 环境下,版本号 ≤ 2.10.0-5.tl4 则受影响,需要执行漏洞修复方案。
TencentOS Server 3 环境下,版本号 ≤ 2.9.0-16.tl3 则受影响,需要执行漏洞修复方案。
TencentOS Server 2 环境下,版本号 ≤ 2.8.4-1.tl2 则受影响,需要执行漏洞修复方案。
(2) 执行以下命令查询 libblockdev 是否安装:
rpm -q --qf '%{version}-%{release}\n' libblockdev
若输出 "package libblockdev is not installed" 或无版本信息,则未安装,不受影响。
TencentOS Server 4 环境下,版本号 ≤ 3.1.0-3.tl4 则受影响,需要执行漏洞修复方案。
TencentOS Server 3 环境下,版本号 ≤ 2.28-6.tl3 则受影响,需要执行漏洞修复方案。
TencentOS Server 2 环境下,版本号 ≤ 2.18-5.tl2 则受影响,需要执行漏洞修复方案。
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
SUSE:https://www.suse.com/security/cve/CVE-2025-6018.html
Ubuntu:https://ubuntu.com/security/CVE-2025-6019
RHEL/CentOS:https://access.redhat.com/security/cve/CVE-2025-6019
2. 针对 TencentOS Server,yum 源已在第一时间合入了官方漏洞补丁的包并推送至系统仓库,建议受影响用户升级至安全版本
(1) 针对 CVE-2025-6018 漏洞的修复方案:
由于 TencentOS Server 默认没有配置 user_readenv,因此不受影响。但是如果用户自查中发现设置了 user_readenv=1,则修改设置为 user_readenv=0,或直接删除,修改后重启 sshd 服务(sudo systemctl restart sshd)以应用配置变更。
(2) 针对 CVE-2025-6019 漏洞的修复方案:
<1> 用于 TencentOS Server 4、TencentOS Server 3 的修复:
使用 dnf update libblockdev udisks2 命令升级,然后使用 systemctl restart udisks2 命令重启服务即可完成修复。
注:此步骤可能造成业务中断,请挑选合适时间尽快执行!
<2> 用于 TencentOS Server 2 的修复:
使用 yum update libblockdev udisks2 命令升级,然后使用 systemctl restart udisks2 命令重启服务即可完成修复。
注:此步骤可能造成业务中断,请挑选合适时间尽快执行!
(3) 修复后验证:
使用 rpm -qa | grep -E "^libblockdev-[0-9]|^udisks2-[0-9]" 命令验证,确认已成功安装了修复后的 libblockdev、udisks2 包。
返回具体版本如下,则表明修复成功:
TencentOS Server 4:libblockdev-3.1.0-4.tl4.x86_64、udisks2-2.10.0-6.tl4.x86_64
TencentOS Server 3:libblockdev-2.28-6.tl3.1.x86_64、udisks2-2.9.0-16.tl3.1.x86_64
TencentOS Server 2: libblockdev-2.18-5.tl2.1.x86_64、udisks2-2.8.4-1.tl2.1.x86_64
3. 针对 CVE-2025-6019 的缓解措施:
如果您使用的 libblockdev 及 udisks 组件是老版本,或者不方便升级到最新版本时,可使用以下命令进行缓解:
(1) udisks 为系统重要服务,如果 udisks 服务非必要,可临时关闭并屏蔽 udisks 服务。
systemctl stop udisks2.service
systemctl mask udisks2.service
(2) 判断 udisks 服务是否关闭并屏蔽:
systemctl status udisks2.service
当 Active 状态为 inactive(服务未运行)表示成功关闭并屏蔽。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
腾讯云安全解决方案
- 腾讯T-Sec主机安全已支持CVE-2025-6019漏洞检测。(注:CVE-2025-6018漏洞不影响腾讯云上主流操作系统,不作特别支持)
2025-07-05