Wykryto kilka poważnych luk bezpieczeństwa w pakiecie needrestart, który jest domyślnie instalowany w Ubuntu Server od wersji 21.04. Luki te umożliwiają lokalnemu atakującemu uzyskanie uprawnień roota bez interakcji użytkownika.
Problem dotyczy wszystkich wersji needrestart od 0.8 (kwiecień 2014). Wykryte podatności (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224) pozwalają na wykonanie dowolnego kodu poprzez manipulację zmiennymi środowiskowymi PYTHONPATH i RUBYLIB.
Zalecana jest natychmiastowa aktualizacja do wersji 3.8. Jako tymczasowe rozwiązanie można wyłączyć skanery interpreterów w pliku konfiguracyjnym needrestart.
Podatność dotyczy również innych dystrybucji opartych na Debianie!
Źródło:
https://thehackernews.com/2024/11/decades-old-security-vulnerabilities.html