新的 Linux 内核漏洞赋予攻击者 root 权限

Linux 世界刚刚从围绕基于 XZ 压缩工具的后门的安全灾难中恢复过来。 后门的安全灾难中刚刚恢复过来就出现了一个新的漏洞，这次是在 Linux 内核中：新发现的安全漏洞可允许第三方执行所谓的本地权限升级（LPE），从而使攻击者获得 root 权限并接管整个系统。该漏洞被归类为CVE-2023-6546在 Red Hat 的漏洞跟踪器中被归类为 CVE-2023-6546，其优先级和严重性都很高。

据Heise Security 报道称，有关 Linux 内核中这一新漏洞的信息已流传数日，但显然是 3 月 21 日在博客中首次报告的。一位对网络安全感兴趣的 Linux 用户的博客上首次报道。根据 Heise Security 在 "oss-security "邮件列表上的询问，该漏洞于周四晚间被报告：这可能是一个影响所有内核版本的未修补漏洞，即所谓的零日漏洞。

启用了 GSM 子系统和 Xen 虚拟化的 Linux 系统可能成为攻击目标

不过，攻击者似乎只有在使用 GSM 子系统和 Xen 虚拟化的情况下才能访问 Linux 系统。据 Heise Security 公司称，目前已有针对多个 Linux 发行版的漏洞利用程序。该漏洞可在标准安装 Debian 12 和 Ubuntu 23.10 的虚拟机上利用。不过，根据读者报告，使用 HWE 内核的 Ubuntu 22.04 和 Fedora Linux 也受到了影响。

补丁补丁，但可能无效。安全研究员 Kyle Zeng 在Openwall 上写道(viaLinux News)上写道，有两个漏洞，即两个漏洞中的一个尚未被关闭。围绕新发现的 Linux 内核漏洞的情况将如何发展，还有待观察。