Ubuntu元件Needrestart存在漏洞，攻擊者有機會藉此得到root權限

資安業者Qualys指出，伺服器版Ubuntu預載的公用程式Needrestart存在5項本機權限提升（LPE）漏洞，未獲取足夠權限的攻擊者，可藉此得到完整的root存取權限，過程裡無需使用者互動。研究人員強調，利用這些漏洞相當容易，很快就可能會有人將其用於實際攻擊。

這些漏洞分別是CVE-2024-10224、CVE-2024-11003、CVE-2024-48990、CVE-2024-48991、CVE-2024-48992，CVSS風險評為5.3至7.8分。附帶一提的是，這些漏洞從2014年4月發布的0.8版就存在，換言之，已存在超過10年。對此，開發者接獲通報後，推出3.8版修補。

什麼是Needrestart？這項公用程式會偵測系統是否有需要重新啟動的服務，之所以需要進行這項作業的原因，在於更新共用程式庫的過程中，Needrestart會察覺服務仍在使用舊版檔案，自動將其重新啟動，作業系統無需為此關機、重新啟動。自21.04版Ubuntu Server開始，Needrestart成為預設安裝的元件，因此這些弱點的影響範圍，有可能會相當廣泛。

若是IT人員無法及時更新這項元件，Qualys提出臨時緩解措施，那就是調整Needrestart的組態檔案，停用啟發式解譯器的功能。