随着Linux系统在服务器、云计算及企业环境中的广泛应用,其安全问题备受关注。近日,Qualys威胁研究团队揭示了两个涉及Ubuntu、Red Hat Enterprise Linux(RHEL)及Fedora核心转储处理器的严重信息泄露漏洞,相关核心转储工具分别为apport和systemd-coredump,这些工具负责在系统进程崩溃后收集并处理内存转储信息。此次曝光的漏洞分别被追踪编号为CVE-2025-5054和CVE-2025-4598,均属于竞态条件漏洞类别,利用这些缺陷,具备本地权限的攻击者可读取系统敏感信息,进而威胁用户的密码安全和系统完整性。漏洞的核心在于在特权进程崩溃时,攻击者能够迅速替换崩溃进程,借助命名空间和PID重用机制诱导核心转储程序将敏感数据错误地交由受控环境处理,暴露诸如/etc/shadow中存储的密码哈希等高价值信息。具体来说,CVE-2025-5054影响Canonical发布的apport包,最高至2.32.0版本,借助命名空间的进程ID重用,攻击者能在崩溃报告生成的竞态时刻获取原进程内存数据。与此同时,CVE-2025-4598则存在于systemd-coredump,攻击者通过强制SUID程序崩溃,并迅速使用非特权程序替代,当核心转储捕获到此变化时,意外地披露了原特权进程的数据。
SUID(Set User ID)是一种特殊权限,使得程序运行时可继承文件所有者权限,若出现这样的权限提升漏洞,将导致潜在的本地特权侦察甚至权限维护。Canonical官方对此表示,apport在检测容器化环境中崩溃的程序时存在缺陷,若攻击者能诱导特权进程崩溃并以相同PID重新启动恶意程序,apport将错误地替换核心转储处理目标。Red Hat方面强调,尽管CVE-2025-4598被评定为中等风险,且攻击复杂度较高,必须先赢得竞态条件且需具备未特权的本地账户,但漏洞一旦被利用,将严重危害系统机密信息。为了缓解风险,Red Hat推荐系统管理员通过调整/proc/sys/fs/suid_dumpable参数为0,以阻止SUID程序生成核心转储,这虽降低了漏洞暴露的可能,但同时限制了崩溃分析能力。值得注意的是,Amazon Linux、Debian和Gentoo等也发布了相应安全通告,其中Debian由于默认不安装systemd-coredump程序,故并未受到CVE-2025-4598影响。Qualys团队甚至发布了漏洞概念验证代码(PoC),成功模拟利用unix_chkpwd进程核心转储窃取/etc/shadow中的密码哈希,暴露了漏洞的真实威胁。
虽然Canonical指出攻击场景受限于密码哈希泄露对实际安全影响较小,但从长远视角来看,任何核心转储中包含敏感数据的泄露都可能引起连锁反应,导致更大范围的安全隐患。攻击者可据此获取用户密码信息,甚至解密后发动进一步横向渗透,影响企业应用和用户隐私。在数字化转型快速推进的当下,运维人员必须密切关注Linux核心组件的安全动态,及时更新补丁及安全配置。关闭SUID程序核心转储虽然是权宜之计,但应结合强化访问控制、提升系统监控和日志审计水平等多层次防护手段,最大限度减少攻击面。通过强化容器和命名空间隔离策略,防止攻击者借助环境切换绕过权限限制,也是防范此类竞态条件漏洞的重要措施。总之,这两个漏洞突然揭示了Linux核心转储处理逻辑中未被充分考虑的安全盲区。
用户及企业需深刻认识到核心转储在记录崩溃信息时的高度敏感性,审慎管理任何涉及特权进程的转储生成。及时应用官方安全更新、禁用非必要的核心转储功能,并强化系统审计,是确保Linux服务器环境稳健安全的关键。此外,建议相关安全团队持续关注Qualys及各大Linux发行版发布的安全公告,并结合自身应用场景调整相关策略与风险管理措施。综合来看,Linux系统虽因开源特性具备灵活可控的优势,但其安全态势同样复杂多变,需要多方协作与专业审计共同筑牢防护墙,从而有效遏制潜在的权限提升和信息泄露风险。
