Linux 系统中潜伏的 Root 风险：CVE-2025-6019 漏洞

Table of Contents

了解漏洞

CVE-2025-6019 是一个本地提权 (LPE) 漏洞，对Linux系统构成重大威胁。该漏洞由 Qualys 的研究人员发现，存在于libblockdev中，可通过udisks守护进程（大多数 Linux 发行版默认存在的组件）利用。当与另一个已披露的漏洞 CVE-2025-6018 结合使用时，普通登录用户可在数秒内将权限提升至 root 访问权限。

CVE-2025-6019 的核心在于信任边界——具体来说，一个看似无害、拥有“allow_active”权限的用户如何能够绕过正常的系统保护，获得对操作系统的不受限制的控制。这引发了严重的安全隐患，尤其是在多用户 Linux 环境中。

从平凡到无所不能

CVE-2025-6019 之所以格外危险，是因为它依赖于 CVE-2025-6018，后者是 SUSE Linux 发行版中可插入身份验证模块 (PAM) 配置中的一个漏洞。该漏洞允许非特权本地用户提升至“allow_active”状态——该访问级别通常授予实际在场或通过 GUI 或 SSH 会话进行身份验证的用户。

一旦攻击者获得此中级访问权限，即可利用 CVE-2025-6019 使用udisks服务获取完全 root 权限。据 Qualys 称，这一系列漏洞实际上消除了普通用户和系统管理员之间的传统界限，这是 Linux 安全领域令人担忧的转变。

现实世界的影响

Root 访问权限是任何攻击者梦寐以求的目标。有了它，攻击者可以修改安全策略、访问和窃取敏感数据、植入持久后门，并随意操控系统。在共享工作站、云托管虚拟机或 Linux 服务器等环境中，攻击者利用这些漏洞不仅可能入侵单个系统，甚至可能危及整个网络或基础设施。

这并非理论上的担忧。Qualys 已经开发了概念验证 (PoC) 漏洞，证实该漏洞影响多个流行的 Linux 发行版，包括 Ubuntu、Debian、Fedora 和 openSUSE。udisks 组件的广泛传播意味着许多系统可能会在不知不觉中暴露。

幕后真相：Udisk 和 Libblockdev

Udisks 是一项提供存储设备管理接口的服务。虽然其设计初衷是为了提升易用性和自动化程度，但也带来了新的攻击面——尤其是在与用户权限和allow_active等策略交互时。Libblockdev 是许多此类磁盘操作背后的库，也是 CVE-2025-6019 漏洞的核心所在。它提供了对块设备功能的低级访问权限，在本例中，它未能正确限制权限不足的用户的操作。

当与 PAM 怪癖和 Polkit 信任假设相结合时，这种疏忽就变得至关重要。这些漏洞利用了灰色地带，即像 udisk 这样的服务会信任标记为“活跃”的用户，并假设他们是安全的——而 CVE-2025-6018 漏洞证明，这种假设是可以被操纵的。

缓解措施和供应商响应

好消息是，Linux 厂商已经开始响应。补丁正在陆续发布，强烈建议系统管理员尽快应用。与此同时，也有一些切实可行的解决方法。例如，管理员可以修改 org.freedesktop.udisks2.modify-device 的 Polkit 规则，要求进行完整的管理员身份验证 (auth_admin)，而不是依赖更宽松的 allow_active 设置。

即使底层漏洞仍然存在，这些措施也可以阻止漏洞利用链。然而，这些措施只是权宜之计，不应被视为替代适当的系统更新。

不止一个缺陷

CVE-2025-6019 的披露伴随着其他近期 Linux 安全问题，例如 CVE-2025-6020——pam_namespace 模块中的一个高危路径遍历漏洞。虽然两者之间没有直接关联，但它凸显了 Linux 中本地权限边界保护的广泛挑战。这类问题虽然无法远程利用，但当本地立足点已经建立时——无论是内部人员、被盗用户账户还是通过网络钓鱼——就尤其危险。