Ubuntu桌面系统高危漏洞：攻击者或获取完整root权限

Ubuntu 安全团队在公开发布前通过将 Ubuntu 25.10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险，上游修复已应用于 uutils 代码库。

漏洞概述

Ubuntu Desktop 24.04 及后续版本默认安装中存在本地提权（LPE）漏洞（CVE-2026-3888），允许非特权本地攻击者获取完整 root 权限。该漏洞由 Qualys 威胁研究团队发现，源于 snap-confine 与 systemd-tmpfiles 两个标准系统组件间的非预期交互，由于这两个组件深度集成于 Ubuntu 默认部署中，使得该漏洞尤为危险。

技术背景

snapd 是 Ubuntu 的后台服务，用于管理 snap 软件包（包含自身依赖的独立应用包）。除软件包管理外，snapd 还负责执行权限模型，控制每个 snap 对主机的访问范围，使其兼具软件包管理器与安全策略引擎双重功能。

漏洞核心涉及两个组件：

snap-confine：setuid root 二进制文件，负责在应用执行前构建 snap 沙盒。它处理挂载命名空间隔离、cgroup 强制、AppArmor 策略加载和 seccomp 过滤等完整隔离机制。systemd-tmpfiles：管理/tmp、/run和/var/tmp等易失性目录，在启动时创建这些目录并定时清理过期文件。该工具的配置错误或可预测的清理周期可能引发符号链接竞争条件，形成本地提权路径。

漏洞利用分析

CVE-2026-3888 CVSS v3.1 评分为 7.8（高危），攻击向量为AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H。攻击需本地访问和低权限，无需用户交互，且影响范围超出漏洞组件本身，对机密性、完整性和可用性均造成高度影响。

高攻击复杂度源于漏洞利用链中的时间延迟机制：systemd-tmpfiles 默认会定期清理/tmp目录（Ubuntu 24.04 为 30 天，后续版本为 10 天）。攻击分三个阶段：

攻击者等待清理守护进程删除 snap-confine 沙盒初始化使用的关键目录/tmp/.snap目录被删除后，攻击者重建/tmp/.snap并植入恶意载荷下次沙盒初始化时，snap-confine 会以 root 权限绑定挂载这些文件，实现特权上下文下的任意代码执行

修复建议

企业应立即升级 snapd 至以下修补版本：

默认配置下的 Ubuntu 16.04-22.04 LTS 系统不受影响，但 Qualys 建议非标准配置环境仍应作为预防措施安装补丁。

相关发现

在 Ubuntu 25.10 发布前的安全审查中，Qualys TRU 还在 uutils coreutils 包（GNU 工具的 Rust 重写版）中发现竞争条件漏洞。该漏洞存在于rm工具中，允许非特权本地攻击者在 root 拥有的 cron 执行期间（特别是针对/etc/cron.daily/apport）用符号链接替换目录条目，可能导致 root 权限的任意文件删除或通过攻击 snap 沙盒目录进一步提权。Ubuntu 安全团队在公开发布前通过将 Ubuntu 25.10 的默认rm命令恢复为 GNU coreutils 缓解了风险，上游修复已应用于 uutils 代码库。