务必自查：Linux 爆出本地双杀提权漏洞，从 SSH 到 Root 只需一步？

这两个漏洞组合形成了从普通账号到 root 的完整提权链条，运维工程师们不能掉以轻心，引起足够重视，记得做好提前备份。

今天分享两个6月17号Qualys研究团队披露了公布的Linux漏洞。

1. 漏洞介绍

CVE‑2025‑6018：利用 PAM 配置误用，SSH 登录的普通用户可冒充本地物理用户（allow_active），并执行 polkit 授权操作。CVE‑2025‑6019：结合 libblockdev 与 udisks 模块缺陷，可在普通用户（已具备 allow_active）条件下，通过挂载恶意 XFS 镜像拿到 SUID-root Shell，从而跻身系统 Root。双链条合体：先通过 CVE‑2025‑6018 获得 allow_active，再借助 CVE‑2025‑6019 提升至 root，整个链条可在主流 Linux 发行版（SUSE、Ubuntu、Debian、Fedora、AlmaLinux……）上复现。

2. 漏洞原理

(1) CVE‑2025‑6018：PAM 环境变量误读

openSUSE Leap 15 / SUSE Linux Enterprise 15 默认启用了pam_env的user_readenv=1，导致登录时直接读取用户~/.pam_environment。攻击者可设置环境变量如XDG_SEAT、XDG_VTNR，绕过pam_systemd判断，冒充“本地”用户，从而获得allow_active权限。

(2) CVE‑2025‑6019：udisks 免 nosuid/nodev 挂载缺陷

在udisks2调用libblockdev执行 XFS 文件系统扩展操作时，挂载点默认缺少nosuid和nodev限制。攻击者可准备 XFS 镜像中包含 SUID-root 程序，通过 loop-mount 再执行，即刻夺取 root 权限。

3. 受影响范围

Ubuntu 自 18.04/20.04/22.04 等版本起，已对 libblockdev 和 udisks2 发布修复补丁。默认配置下不受 CVE‑2025‑6018 影响，但某些定制 PAM 配置仍然有风险。

Debian、Red Hat、AlmaLinux 等社区纷纷上线应急更新。

4. 防范措施建议

(1) 立即更新系统软件

SUSE 用户更新 PAM 或调整/etc/pam.d/*栈中pam_env配置，确保user_readenv=0或移除。

Ubuntu/Debian/Fedora/AlmaLinux 等用户请尽快安装 libblockdev 与 udisks2 的安全补丁。

(2) 调整 Polkit 授权策略

修改/usr/share/polkit-1/actions/org.freedesktop.udisks2.policy中org.freedesktop.udisks2.modify-device授权，将allow_active改为auth_admin。

(3) 强化权限与配置审计

审查 PAM 配置文件，移除可能的user_readenv配置。

监控/tmp/loop…临时挂载、不明 SUID shell 文件生成行为。

(4) 隔离 SSH 与 GUI 登录权限

对 SSH 登录用户进行最小权限策略，避免给予 GUI 本地权限（例如通过pam_systemd模块）。

这两个漏洞组合形成了从普通账号到 root 的完整提权链条，运维工程师们不能掉以轻心，引起足够重视，记得做好提前备份。