
2026年7月6日,Linux内核中被公开披露了一个本地权限提升(LPE)漏洞,该漏洞被分配编号CVE-2026-53359,并被称为Januscape。此漏洞影响所有Ubuntu版本。
目前NVD和Kernel.org尚未发布各自的CVSS评分。我们评估该漏洞为CVSS 4.0评分8.4分,同时看到其他机构给出了CVSS 3.0评分7.8分、8.8分,以及CVSS 4.0评分9.3分。
该漏洞影响Intel和AMD x86_64系统上KVM的嵌套虚拟化功能,其他架构不受影响。已公开发布的概念验证漏洞利用演示了从虚拟机内部导致宿主机崩溃的攻击方式。部分报告称存在完整的漏洞利用代码。
修复程序必须安装在宿主机(Hypervisor)的内核中:如果您使用的是基于Linux KVM且运行在Intel或AMD硬件上的云服务提供商,并且启用了嵌套虚拟化,那么您的虚拟机或宿主机可能被其他租户入侵。如果您的云服务提供商不允许嵌套虚拟化,则不受此问题影响。
如果您自行运行宿主机,则攻击面来自虚拟机中的root用户。
包含拟议补丁的Linux内核软件包即将发布。在安全更新可用之前,您可以通过禁用嵌套虚拟化来阻止此漏洞的滥用。这可能会影响正常的合法工作,请在采取缓解措施前权衡利弊。
本文将介绍如何禁用嵌套虚拟化。
| Ubuntu版本 | 软件包名称 | 修复状态 |
|---|---|---|
| Trusty (14.04) | linux | 修复待发布 |
| Xenial (16.04) | linux | 修复待发布 |
| Bionic (18.04) | linux | 修复待发布 |
| Focal (20.04) | linux | 修复待发布 |
| Jammy (22.04) | linux | 修复待发布 |
| Noble (24.04) | linux | 修复待发布 |
| Resolute (26.04) | linux | 修复待发布 |
grep . /sys/module/kvm_{amd,intel}/parameters/nested
# 输出1或Y表示受影响,0或N表示已缓解。
# 出现1个或2个“No such file or directory”属于正常情况。
# 出现2个“No such file or directory”不代表绝对安全——模块仍可能在后续被加载。
即使当前没有运行虚拟机,系统中的libvirt、lxd、multipass、incus等服务可能允许用户在将来创建虚拟机。攻击者可以利用这些服务提供的功能创建虚拟机,并通过本漏洞实现本地权限提升(LPE)。设备节点权限也可能为用户提供利用漏洞所需的权限。请检查namei -l /dev/kvm和getfacl /dev/kvm的输出,确认常用设备节点的权限。应确保只有授权用户才能写入/dev/kvm设备。Ubuntu的默认配置中,/dev/kvm仅允许超级用户(root)和kvm组写入,只有授权用户会被添加到kvm组。
非特权容器没有足够的权限启动KVM加速的虚拟机,因此不属于风险来源。特权容器可能拥有启动KVM加速虚拟机的权限,不应视为安全。应按照上述“未运行虚拟化工作负载的部署”章节处理。
虚拟机内部任何能够触发内核模块加载或提供新内核的进程或用户,都有可能操作页表,从而足以使宿主机崩溃,或者利用宿主机入侵其他虚拟机。
您可以通过以下步骤在宿主机上禁用嵌套虚拟化:
# 卸载相关模块(两者均无害)
sudo rmmod kvm_amd ; sudo rmmod kvm_intel
# 检查是否有配置文件强制启用嵌套
grep nested /etc/modprobe.d/*
# 对AMD和Intel处理器的KVM实现禁用嵌套
echo 'options kvm_amd nested=0' | sudo tee /etc/modprobe.d/nested.conf
echo 'options kvm_intel nested=0' | sudo tee -a /etc/modprobe.d/nested.conf
# 如有必要重新加载模块(两者均无害)
sudo modprobe kvm_amd ; sudo modprobe kvm_intel
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://ubuntu.com//blog/januscape-linux-vulnerability-mitigations-available
你必须 登录 才能发表评论.
| 微信捐赠 | 支付宝捐赠 |
|---|---|
![]() |
![]() |
扫码关注公众号:智享开源

还没有任何评论,你来说两句吧!