务必自查：Linux 爆出本地双杀提权漏洞，从 SSH 到 Root 只需一步？

今天分享两个6月17号Qualys研究团队披露了公布的Linux漏洞。

1. 漏洞介绍CVE‑2025‑6018：利用 PAM 配置误用，SSH 登录的普通用户可冒充本地物理用户（allow_active），并执行 polkit 授权操作。CVE‑2025‑6019：结合 libblockdev 与 udisks 模块缺陷，可在普通用户（已具备 allow_active）条件下，通过挂载恶意 XFS 镜像拿到 SUID-root Shell，从而跻身系统 Root。双链条合体：先通过 CVE‑2025‑6018 获得 allow_active，再借助 CVE‑2025‑6019 提升至 root，整个链条可在主流 Linux 发行版（SUSE、Ubuntu、Debian、Fedora、AlmaLinux……）上复现。2. 漏洞原理

(1) CVE‑2025‑6018：PAM 环境变量误读

openSUSE Leap 15 / SUSE Linux Enterprise 15 默认启用了 pam_env 的 user_readenv=1，导致登录时直接读取用户 ~/.pam_environment。攻击者可设置环境变量如 XDG_SEAT、XDG_VTNR，绕过 pam_systemd 判断，冒充“本地”用户，从而获得 allow_active 权限。

(2) CVE‑2025‑6019：udisks 免 nosuid/nodev 挂载缺陷

在 udisks2 调用 libblockdev 执行 XFS 文件系统扩展操作时，挂载点默认缺少 nosuid 和 nodev 限制。攻击者可准备 XFS 镜像中包含 SUID-root 程序，通过 loop-mount 再执行，即刻夺取 root 权限。3. 受影响范围

漏洞

受影响系统

提升链条说明

CVE‑2025‑6018

openSUSE Leap 15, SUSE Linux Enterprise 15 等 PAM 使用 user_readenv 的系统

可从 SSH 普通用户→allow_active

CVE‑2025‑6019

几乎所有默认安装了 udisks2 的主流发行版：Ubuntu、Debian、Fedora、openSUSE、AlmaLinux 等

可从 allow_active → root

Ubuntu 自 18.04/20.04/22.04 等版本起，已对 libblockdev 和 udisks2 发布修复补丁。默认配置下不受 CVE‑2025‑6018 影响，但某些定制 PAM 配置仍然有风险。

Debian、Red Hat、AlmaLinux 等社区纷纷上线应急更新。

4. 防范措施建议

(1) 立即更新系统软件

SUSE 用户更新 PAM 或调整 /etc/pam.d/* 栈中 pam_env 配置，确保 user_readenv=0 或移除。

Ubuntu/Debian/Fedora/AlmaLinux 等用户请尽快安装 libblockdev 与 udisks2 的安全补丁。

(2) 调整 Polkit 授权策略

修改 /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy 中 org.freedesktop.udisks2.modify-device 授权，将 allow_active 改为 auth_admin。

(3) 强化权限与配置审计

审查 PAM 配置文件，移除可能的 user_readenv 配置。

监控 /tmp/loop… 临时挂载、不明 SUID shell 文件生成行为。

(4) 隔离 SSH 与 GUI 登录权限

对 SSH 登录用户进行最小权限策略，避免给予 GUI 本地权限（例如通过 pam_systemd 模块）。

这两个漏洞组合形成了从普通账号到 root 的完整提权链条，运维工程师们不能掉以轻心，引起足够重视，记得做好提前备份。