Wiz研究人员SagiTzadik和ShirTamari发现了两个漏洞，估计会影响五分之二的Ubuntu用户，因此流行Linux发行版的用户Wiz研究人员SagiTzadik和ShirTamari发现了两个漏洞，估计会影响五分之二的Ubuntu用户，因此我们敦促

这些漏洞被追踪为CVE-2023-32629和CVE-2023-2640，均在Ubuntu23.04LunarLobster的最新补丁中得到了处理。

尽管如此，许多用户还没有应用必要的更新，这是有问题的，因为Tzadik和Tamari表示，这些漏洞的利用已经公开。

研究人员表示，这两个问题都源于Linux内核项目在2019年和2022年对OverlayFS模块进行的修改，这与Ubuntu早期的更改相冲突。当Ubuntu采用新代码时，这两个CVE就变得明显了。

Wiz公告中写道：“OverlayFS是本地权限升级的一个有吸引力的攻击面，因为非特权用户通常可以通过用户命名空间访问它，它历史上存在大量易于利用的逻辑漏洞，而且它的代码相对活跃根据。”

对于CVE-2023-32629和CVE-2023-2640，Ubuntu表示：“UbuntuLinux内核中的OverlayFS实现在某些情况下未正确执行权限检查。”这导致本地攻击者有可能获得更高的权限。

与此同时，Linux还修复了其他六个漏洞。Ubuntu表示更新后需要重新启动以确保更改生效。

由于OverlayFS的流行，这些漏洞的影响范围很广，而且它们的严重性(一个标记为高，另一个标记为中)，用户应该考虑应用更新，即使他们不确定自己的特定设置或者他们认为自己有最近已经更新了。

版权说明：本站所有作品图文均由用户自行上传分享，仅供网友学习交流。若您的权利被侵害，请联系我们

标签：用户漏洞Ubuntu