
2026年7月6日,Linux内核中一处可导致本地权限提升(LPE)的漏洞被公开披露。该漏洞编号为CVE-2026-53359,并被称为Januscape。此漏洞影响所有Ubuntu版本。
目前美国国家漏洞数据库(NVD)和Kernel.org尚未发布各自的CVSS评分。我们计算其CVSS 4.0评分为8.4,而其他机构给出的CVSS 3.x评分有7.8和8.8,CVSS 4.0评分则为9.3。
该漏洞影响Intel和AMD x86_64系统上KVM的嵌套虚拟化功能,其他架构不受影响。已公开的概念验证(PoC)漏洞演示了如何从客户机崩溃虚拟机监控器主机。有报告称,完整的漏洞利用代码已存在。
修复程序必须安装在虚拟机监控器的内核中:如果您使用的云服务提供商基于Intel或AMD硬件上的Linux KVM,并且您启用了嵌套虚拟化,那么您的虚拟机或主机可能遭其他租户攻击。如果您的云服务提供商不允许嵌套虚拟化,则您不受该问题影响。
如果您自己运行虚拟机监控器,攻击面来自客户虚拟机中的root用户。
实施补丁的Linux内核软件包即将发布。在安全更新可用之前,您可以禁用嵌套虚拟化以防止该漏洞被利用。但这可能会影响您合法的运维工作,请权衡利弊后再采取缓解措施。
本文描述如何禁用嵌套虚拟化。
执行以下命令,查看嵌套虚拟化是否启用:
grep . /sys/module/kvm_{amd,intel}/parameters/nested
# 若输出为1或Y,则表示受影响;0或N表示已缓解。
# 可能会出现一或两个“No such file or directory”,这属于正常现象。
# 但两个“No such file or directory”并不代表绝对安全——模块仍可能稍后被加载。
即使您目前没有运行任何虚拟机,像libvirt、lxd、multipass、incus等系统服务也可能允许用户在未来创建虚拟机。攻击者能够通过这些服务创建虚拟机,并利用该漏洞实施本地权限提升(LPE)。此外,设备节点权限也可能为用户提供必要的权限来利用漏洞。请检查 namei -l /dev/kvm 和 getfacl /dev/kvm 的输出,了解该设备节点的权限设置。应确保只有特权用户能够写入 /dev/kvm 设备。Ubuntu默认情况下,仅超级用户(root)和kvm组拥有写入权限,且只有特权用户会被添加到kvm组中。
非特权容器不具备启动KVM加速虚拟机的足够权限,因此并非安全隐患。但特权容器可能具有启动KVM加速虚拟机的权限,不应视为安全。对于这类容器,请参照上文“未运行虚拟化工作负载的部署”部分处理。
虚拟机内部的任何进程或用户,只要能引发内核模块加载或提供新内核,均可操纵页表,从而足以崩溃主机、利用主机漏洞或攻击同一主机上的其他客户机。
您可以通过以下步骤在主机上禁用嵌套虚拟化:
# 卸载模块(两个命令均无害)
sudo rmmod kvm_amd ; sudo rmmod kvm_intel
# 检查是否有配置文件强制启用了嵌套
grep nested /etc/modprobe.d/*
# 针对AMD和Intel处理器的KVM实现禁用嵌套
echo 'options kvm_amd nested=0' | sudo tee /etc/modprobe.d/nested.conf
echo 'options kvm_intel nested=0' | sudo tee -a /etc/modprobe.d/nested.conf
# 如果需要,重新加载模块(两个命令均无害)
sudo modprobe kvm_amd ; sudo modprobe kvm_intel
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://ubuntu.com//blog/januscape-linux-vulnerability-mitigations-available
你必须 登录 才能发表评论.
| 微信捐赠 | 支付宝捐赠 |
|---|---|
![]() |
![]() |
扫码关注公众号:智享开源

还没有任何评论,你来说两句吧!