
2026年7月6日,Linux内核曝出一个本地权限提升(LPE)漏洞,编号为CVE-2026-53359,被命名为Januscape。该漏洞影响所有Ubuntu发行版。
目前,NVD(美国国家漏洞数据库)和Kernel.org均未发布官方CVSS评分。我们内部评估的结果为CVSS 4.0 8.4分,同时观察到其他安全机构给出的评分包括CVSS 3.0 7.8、8.8以及CVSS 4.0 9.3分。
此漏洞存在于Intel和AMD x86_64系统的KVM嵌套虚拟化功能中,其他架构不受影响。已公开的概念验证(PoC)攻击代码可导致客户机崩溃宿主机的Hypervisor,另有报告称完整的利用代码已经存在。
修复补丁必须安装到Hypervisor所在的内核中。如果您使用的是基于Linux KVM的云服务商,且硬件为Intel或AMD,同时允许嵌套虚拟化,那么您的虚拟机或宿主机可能受到其他租户的威胁。若云服务商禁用了嵌套虚拟化,则您不受此漏洞影响。
如果您自行运行Hypervisor,攻击面来自于客户机虚拟机内的root用户。
包含修复补丁的Linux内核包即将发布。在安全更新可用前,您可以通过禁用嵌套虚拟化来阻止该漏洞被利用。这可能会影响正常业务,请权衡利弊后再采取缓解措施。
本文介绍如何禁用嵌套虚拟化。
以下Ubuntu版本均受CVE-2026-53359影响,内核软件包名为linux,修复状态均为“修复待发布”:
执行以下命令可确认当前环境是否启用了嵌套虚拟化:
grep . /sys/module/kvm_{amd,intel}/parameters/nested
# 输出为1或Y表示受影响,0或N则表示已缓解。
# 可能出现一或两条“No such file or directory”信息,这属于正常情况。
# 如果出现两条“No such file or directory”,并不代表安全——模块可能在后续被加载。
即使当前没有运行虚拟机,系统服务(如libvirt、lxd、multipass、incus等)仍可能允许用户在将来创建虚拟机。攻击者可以利用这些服务创建虚拟机,进而通过该漏洞实施本地权限提升(LPE)。此外,设备节点权限也可能赋予用户必要的利用条件。请检查命令namei -l /dev/kvm和getfacl /dev/kvm的输出,确保只有特权用户能够写入/dev/kvm设备。Ubuntu默认配置中,/dev/kvm仅允许超级用户(root)和kvm组成员写入,而只有特权用户才会被加入kvm组。
非特权容器不具备启动KVM加速虚拟机的权限,因此不会成为攻击向量。特权容器则可能拥有足够权限启动KVM加速虚拟机,不可视为安全环境,应按照上述“未运行虚拟化工作负载”场景处理。
虚拟机内的任何进程或用户,只要能够触发内核模块加载或提供新内核,就有可能操纵页表,进而导致宿主机崩溃、被利用,或者攻击同一宿主机上的其他客户机。
您可以通过以下步骤在宿主机上禁用虚拟化嵌套:
# 卸载相关内核模块(两者均不影响系统正常运行)
sudo rmmod kvm_amd ; sudo rmmod kvm_intel
# 检查是否有配置文件强制启用嵌套功能
grep nested /etc/modprobe.d/*
# 为AMD和Intel的KVM实现分别写入禁用配置
echo 'options kvm_amd nested=0' | sudo tee /etc/modprobe.d/nested.conf
echo 'options kvm_intel nested=0' | sudo tee -a /etc/modprobe.d/nested.conf
# 重新加载模块(两者均不影响系统正常运行)
sudo modprobe kvm_amd ; sudo modprobe kvm_intel
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://ubuntu.com//blog/januscape-linux-vulnerability-mitigations-available
你必须 登录 才能发表评论.
| 微信捐赠 | 支付宝捐赠 |
|---|---|
![]() |
![]() |
扫码关注公众号:智享开源

还没有任何评论,你来说两句吧!