Linux libblockdev 本地提权漏洞-低调大师

Linux libblockdev 本地提权漏洞

2025-06-20 144

漏洞描述

libblockdev 是 Linux 上用于块设备管理的底层库，提供统一接口支持分区、文件系统、LVM 和加密等操作。udisks 是基于 D-Bus 的服务，封装调用 libblockdev 等工具，为桌面环境和应用程序提供挂载、格式化等存储管理功能。

受影响版本中，libblockdev 在挂载磁盘分区时遗漏 nosuid 安全标志，导致可在挂载点执行具备特殊权限（如 root 权限）的文件。攻击者拥有 allow_active 权限时，可利用该缺陷挂载恶意文件并执行，进而获取 root 权限。

由于libblockdev默认在较多Linux发行版中提供，该漏洞影响 Ubuntu、Debian、Fedora、openSUSE 等主流发行版，但由于allow_active 权限限制，通常难以单独利用，在SUSE系统中可结合CVE-2025-6018漏洞可将ssh远程低权限用户提升为allow_active用户实现远程利用。

修复版本通过弃用系统默认挂载选项，显式添加 nosuid 和 nodev，防止本地提权漏洞。

漏洞名称	Linux libblockdev 本地提权漏洞
漏洞类型	权限管理不当
发现时间	2025-06-19
漏洞影响广度	-
MPS编号	MPS-mqf0-usbi
CVE编号	CVE-2025-6019
CNVD编号	-

影响范围

libblockdev-lvm-dbus@影响所有版本
libblockdev-lvm-dbus@影响所有版本
python3-blockdev@影响所有版本
python3-blockdev@影响所有版本
libblockdev-crypto@影响所有版本
libblockdev-dm@影响所有版本
libblockdev-btrfs-devel@影响所有版本
libblockdev-kbd@影响所有版本
libblockdev-lvm@影响所有版本
libblockdev-mpath@影响所有版本
libblockdev-mpath-devel@影响所有版本
libblockdev@影响所有版本
libblockdev-crypto-devel@影响所有版本
libblockdev-devel@影响所有版本
libblockdev-btrfs@影响所有版本
libblockdev-kbd-devel@影响所有版本
libblockdev-loop@影响所有版本
libblockdev-mdraid@影响所有版本
libblockdev-mdraid-devel@影响所有版本
libblockdev-nvdimm-devel@影响所有版本
libblockdev-plugins-all@影响所有版本
libblockdev-swap@影响所有版本
libblockdev-dm-devel@影响所有版本
libblockdev-fs@影响所有版本
libblockdev-fs-devel@影响所有版本
libblockdev-loop-devel@影响所有版本
libblockdev-nvdimm@影响所有版本
libblockdev-lvm-devel@影响所有版本
libblockdev-part@影响所有版本
libblockdev-s390@影响所有版本
libblockdev-swap-devel@影响所有版本
libblockdev-part-devel@影响所有版本
libblockdev-utils@影响所有版本
python2-blockdev@影响所有版本
libblockdev-s390-devel@影响所有版本
libblockdev-vdo@影响所有版本
libblockdev-utils-devel@影响所有版本
libblockdev-vdo-devel@影响所有版本
libblockdev-btrfs@影响所有版本
libblockdev-btrfs-devel@影响所有版本
libblockdev-fs-devel@影响所有版本
libblockdev-loop-devel@影响所有版本
libblockdev-mdraid-devel@影响所有版本
libblockdev-part@影响所有版本
libblockdev-s390@影响所有版本
libblockdev-crypto@影响所有版本
libblockdev-crypto-devel@影响所有版本
libblockdev-kbd-devel@影响所有版本
libblockdev-loop@影响所有版本
libblockdev-mpath-devel@影响所有版本
libblockdev-nvdimm-devel@影响所有版本
libblockdev@影响所有版本
libblockdev-kbd@影响所有版本
libblockdev-lvm@影响所有版本
libblockdev-mpath@影响所有版本
libblockdev-devel@影响所有版本
libblockdev-dm@影响所有版本
libblockdev-dm-devel@影响所有版本
libblockdev-fs@影响所有版本
libblockdev-lvm-devel@影响所有版本
libblockdev-mdraid@影响所有版本
libblockdev-nvdimm@影响所有版本
libblockdev-plugins-all@影响所有版本
libblockdev-part-devel@影响所有版本
libblockdev-s390-devel@影响所有版本
libblockdev-utils@影响所有版本
libblockdev-vdo-devel@影响所有版本
libblockdev-utils-devel@影响所有版本
python2-blockdev@影响所有版本
libblockdev-swap-devel@影响所有版本
libblockdev-vdo@影响所有版本
libblockdev-swap@影响所有版本
libblockdev@(-∞, 2.30)
libblockdev@[3.0, 3.2.2)
libblockdev@[3.3.0, 3.3.1)

修复方案

将组件 libblockdev 升级至 2.30 及以上版本
将组件 libblockdev 升级至 3.2.2 及以上版本
将组件 libblockdev 升级至 3.3.1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-mqf0-usbi

Commit

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/356507

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Gitee SBOM 扫描上线，全面守护开源软件供应链安全

在软件开发逐渐开源化和协作化的今天，软件供应链的透明性与安全性已成为开发者和企业最关注的话题之一。尤其对于国内开发者和开源社区来说，随着国际合作与市场需求的日益增加，明确掌握软件供应链的信息，保障合规性和安全性至关重要。 Gitee 全新推出的 SBOM（软件物料清单）扫描功能，正是为了解决这些关键问题而生。 SBOM 扫描是什么？软件物料清单（Software Bill of Materials，简称SBOM）类似于软件的「配料表」，清晰记录了软件中包含的所有具体组件、库和依赖项。这种方式让开发者可以快速准确地了解软件的组成结构，从而及时发现可能存在的安全漏洞和隐患，防止问题扩大。此外，SBOM 还能协助中国的开发者和企业满足国内外的合规要求以及国际出口管制和知识产权保护相关的合规标准，确保软件开发与国际接轨且安全可信。 SBOM 扫描能做什么？识别开源依赖风险快速准确地识别项目中使用的开源组件，帮助开发者清晰了解依赖项，避免隐性风险，保护自主知识产权。追踪许可证合规性主动管理项目中组件许可证，确保合规性，避免法律纠纷，提升对开源项目的信任度。快速响应漏洞威胁一...

2025-06-20

138

当今世界格局，全球化退火，大国博进入弈白热化，内循环成为主战场，在此百年未有之大变局下，民营企业必须“跟随国家战略”，成为国家“政府、国企、民企战略共同体”中的重要一员，才能分享新一轮政策与市场红利。开源中国于 2013 年发布代码托管平台 Gitee，是国内领先的代码托管服务平台，并于 2020 年牵头建设工信部国家开源托管平台项目。Gitee 于 2017 年上线发布针对企业级的研发效能平台 Gitee 企业版。同时，开源中国自 2020 年起开始深耕 DevOps 全生命周期产品国产替代方案，在满足开发者需求的同时，打造出一个自主创新、安全可信的本土开源软件工具与生态，减少开发者对海外开源软件的过度依赖，构建安全可控的中国信息化体系。 Gitee 以“国家代码库备份”和“国产替代”双核驱动，扛起民营科技企业的时代使命：国家代码库备份：构建国内最大、最安全、最全量的开源代码备份网络，承担“国家级软件基因库”职责。国产替代先锋：深度兼容国际前沿技术生态，坚持走信创自主可控道路，实现从源码托管到 DevOps 工具链的全流程国产替代。以备份能力筑牢“数字长城” “备份战略下的...

2025-06-20

117

资源下载

更多资源

Oracle

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。