Ubuntu高危漏洞可通過systemd清理時序漏洞提權至root

Ubuntu桌面版24.04及后續版本默認安裝中發現了一個高危安全漏洞，攻擊者可利用該漏洞將權限提升至root級別。

該漏洞編號為CVE-2026-3888，CVSS評分為7.8分，攻擊者可通過此漏洞獲得易受攻擊系統的完全控制權。

漏洞原理與影響

Qualys威脅研究單元表示："此漏洞（CVE-2026-3888）允許無特權的本地攻擊者通過兩個標準系統組件的交互來提升權限至完全root訪問權限：snap-confine和systemd-tmpfiles。雖然該漏洞利用需要特定的時間窗口（10-30天），但造成的影響是主機系統的完全compromise。"

據Qualys分析，問題源于snap-confine和systemd-tmpfiles之間的意外交互。snap-confine負責通過創建沙箱來管理snap應用程序的執行環境，而systemd-tmpfiles則自動清理超過定義閾值的臨時文件和目錄（如/tmp、/run和/var/tmp）。

受影響版本與補丁

漏洞已在以下版本中得到修復：

Ubuntu 24.04 LTS - snapd版本2.73+ubuntu24.04.1之前的版本

Ubuntu 25.10 LTS - snapd版本2.73+ubuntu25.10.1之前的版本

Ubuntu 26.04 LTS（開發版）- snapd版本2.74.1+ubuntu26.04.1之前的版本

上游snapd - 2.75版本之前的版本

攻擊向量分析

該攻擊需要低權限且無需用戶交互，但由于漏洞利用鏈中的時間延遲機制，攻擊復雜性較高。

Qualys表示："在默認配置中，systemd-tmpfiles被調度清理/tmp中的過期數據。攻擊者可以通過操縱這些清理周期的時序來利用此漏洞。"

攻擊過程包括以下步驟：

攻擊者必須等待系統清理守護進程刪除snap-confine所需的關鍵目錄（/tmp/.snap）。默認周期在Ubuntu 24.04中為30天，在后續版本中為10天。

目錄被刪除后，攻擊者重新創建包含惡意載荷的目錄。

在下次沙箱初始化期間，snap-confine以root權限綁定掛載這些文件，允許在特權上下文中執行任意代碼。

相關發現

此外，Qualys還在uutils coreutils包中發現了一個競態條件漏洞，允許無特權的本地攻擊者在root擁有的cron執行期間用符號鏈接替換目錄條目。

該網絡安全公司表示："成功利用此漏洞可能導致以root身份任意刪除文件，或通過針對snap沙箱目錄進一步提升權限。該漏洞在Ubuntu 25.10公開發布之前已被報告并得到緩解。Ubuntu 25.10中的默認rm命令已恢復為GNU coreutils以立即緩解此風險。上游修復已應用到uutils代碼庫中。"

Q&A

Q1：CVE-2026-3888漏洞的危害程度有多大？

A：這是一個高危漏洞，CVSS評分為7.8分。攻擊者可以利用此漏洞將無特權的本地權限提升至完全的root訪問權限，從而獲得Ubuntu系統的完全控制權，造成主機系統的完全compromise。

Q2：哪些Ubuntu版本會受到CVE-2026-3888漏洞影響？

A：該漏洞影響Ubuntu桌面版24.04及后續版本的默認安裝。具體包括Ubuntu 24.04 LTS、Ubuntu 25.10 LTS和Ubuntu 26.04 LTS開發版，以及上游snapd的相應版本。

Q3：CVE-2026-3888漏洞利用需要什么條件？

A：攻擊需要低權限且無需用戶交互，但攻擊復雜性較高。攻擊者必須等待系統清理守護進程刪除關鍵目錄，這個時間窗口在Ubuntu 24.04中為30天，在后續版本中為10天，然后重新創建包含惡意載荷的目錄。