近期,TencentOS 安全团队监测到 CVE 官网披露漏洞(CVE-2025-6018、CVE-2025-6019 ),漏洞受影响组件分别为(PAM、libblockdev、udisks),其中 PAM(Pluggable Authentication Modules)不受影响,libblockdev、udisks 影响 TencentOS Server 2、TencentOS Server 3、TencentOS Server 4的产品。监测到漏洞情报后,安全团队第一时间对漏洞进行分析和修复。
注意:
若您已使用 TencentOS,建议您及时开展风险自查,如受影响,请及时根据 TencentOS 为用户提供的漏洞修复解决方案进行防护,确保您的系统安全。
漏洞详情
CVE-2025-6018
该漏洞源于 Linux 系统 PAM 身份验证模块的配置逻辑缺陷。攻击者可通过普通 SSH 访问绕过 polkit 策略限制,构造特定环境变量组合,在调用 pam_systemd.so 认证模块前利用 pam_env.so 模块开启 user_readenv 选项,从而诱导系统误判网络登录用户具备物理终端权限(allow_active),最终获得 root 级控制台访问权限。
利用条件:
系统启用 PAM 模块并配置允许网络用户通过 SSH 进行身份验证。
pam_env.so 模块加载顺序早于 pam_systemd.so(常见于默认配置)。
未对 user_readenv 环境变量进行严格限制。
TencentOS 上 PAM 默认配置下不受影响,为避免用户自定义配置引入漏洞,本文提供了 PAM 组件的受影响排查方法。
CVE-2025-6019
该漏洞源于 libblockdev 组件在权限检查机制中的逻辑缺陷。攻击者可通过构造恶意块设备操作请求,绕过 udisks 守护进程的权限验证逻辑,利用其 allow_active 参数触发 libblockdev 未正确校验的 API 接口,从而以普通用户身份直接获取 root 权限。
利用条件:
系统使用受漏洞影响的 libblockdev 3.1.0及 udisks 2 2.10.0组件。
udisks 守护进程默认启用 allow_active 参数(常见于默认配置)。
依赖 D-Bus 消息总线服务进行进程间通信(默认启用)。
成功利用此漏洞后,攻击者可完全控制目标主机,任意篡改服务器配置(如关闭数据库服务)、窃取核心数据(客户信息/云凭证)、植入持久化后门(业务重启仍可维持控制),并通过内网横向移动进一步扩散影响,最终导致业务中断、合规处罚及供应链信任链崩坏。
受影响自查指南
自查CVE-2025-6018
若用户自定义修改了 PAM 组件配置,可登录环境并执行以下命令进行检查:
1. 确认是否安装组件 PAM:
rpm-qi pam#检查是否安装 PAM
若未安装则不受影响。
若已安装需要执行下一步
2. 已安装 PAM 情况下,检查设置:
#若已安装 PAM,请检查有无如下设置:grep-nir"user_readenv"/etc/pam.d/
若输出结果为空或 user_readenv 不为1,则不受影响。
若 user_readenv 为1则受影响,请立即修复或采取临时缓解措施。
自查CVE-2025-6019
1. 执行如下命令查询 udisks2 是否安装:
rpm-q --qf'%{version}-%{release}\\n'udisks2
若输出 "package udisks2 is not installed"或无版本信息,则未安装不受影响。
TencentOS Server 4环境下,版本号≤ 2.10.0-5.tl4 则受影响,需要执行漏洞修复方案。
TencentOS Server 3环境下,版本号≤ 2.9.0-16.tl3 则受影响,需要执行漏洞修复方案。
TencentOS Server 2环境下,版本号≤ 2.8.4-1.tl2 则受影响,需要执行漏洞修复方案。
2. 执行如下命令查询 libblockdev 是否安装:
rpm-q --qf'%{version}-%{release}\\n'libblockdev
若输出 "package libblockdev is not installed"或无版本信息,则未安装不受影响。
TencentOS Server 4环境下,版本号≤ 3.1.0-3.tl4 则受影响,需要执行漏洞修复方案。
TencentOS Server 3环境下,版本号≤ 2.28-6.tl3 则受影响,需要执行漏洞修复方案。
TencentOS Server 2环境下,版本号≤ 2.18-5.tl2 则受影响,需要执行漏洞修复方案。
受影响组件版本:
TencentOS Server 4 : libblockdev <=3.1.0-3 和 udisks2 <= 2.10.0-5
TencentOS Server 3 :libblockdev <=2.28-6 和 udisks2 <= 2.9.0-16
TencentOS Server 2 :libblockdev <=2.18-4 和 udisks2 <= 2.8.4-1
漏洞修复方案
若您的版本在受影响范围,TencentOS Server yum 源已在第一时间将合入了官方漏洞补丁的包推送至系统仓库,您可通过升级相关应用至安全版本,以修复漏洞。修复指引如下:
CVE-2025-6018修复方式
系统版本 | 修复方式 |
TencentOS Server 4 TencentOS Server 3 TencentOS Server 2 | TencentOS Server 默认不配置 user_readenv,不受影响,如用户自查中发现设置 user_readenv=1,则修改为设置 user_readenv=0,或直接删除,修改后重启 sshd 服务( sudo systemctl restart sshd)以应用配置变更。警告: 注意:此步骤可能造成业务中断,请挑选合适时间尽快执行! |
CVE-2025-6019修复方式
系统版本 | 修复方式 |
TencentOS Server 4 TencentOS Server 3 | 升级并重启服务修复,执行以下命令:
重启服务:
警告: 注意:此步骤可能造成业务中断,请挑选合适时间尽快执行! |
TencentOS Server 2 | 升级并重启服务修复,执行以下命令:
重启服务:
警告: 注意:此步骤可能造成业务中断,请挑选合适时间尽快执行! |
修复后验证:
执行如下命令,确认已成功安装了修复后的 libblockdev、udisks2包。
rpm-qa|grep-E"^libblockdev-[0-9]|^udisks2-[0-9]"
返回具体版本如下,则表明修复成功:
TencentOS Server 4 :libblockdev-3.1.0-4.tl4.x86_64、udisks2-2.10.0-6.tl4.x86_64
TencentOS Server 3 :libblockdev-2.28-6.tl3.1.x86_64、udisks2-2.9.0-16.tl3.1.x86_64
TencentOS Server 2 : libblockdev-2.18-5.tl2.1.x86_64、udisks2-2.8.4-1.tl2.1.x86_64
规避措施
CVE-2025-6019的规避措施
如果您使用的 libblockdev 及 udisks 组件是老版本,或者不方便升级到最新版本时,可使用如以下命令进行缓解:
udisks为系统重要服务,如果 udisks 服务非必要,可临时关闭并屏蔽 udisks 服务。
systemctl stop udisks2.service
systemctl mask udisks2.service
判断措施是否执行成功,完成漏洞规避:
systemctl status udisks2.service
当 Active 状态为 inactive (服务未运行)表示成功屏蔽。
