近日，知名科技媒體bleepingcomputer披露了一項驚人的安全發現：在Ubuntu Linux發行版中，潛藏了長達十年的安全漏洞。這些漏洞若被惡意利用，將使攻擊者能夠輕易地將本地權限提升至root級別，對系統安全構成嚴重威脅。

據安全公司Qualys的研究，這些漏洞均存在于needrestart實用工具中，共計五個，追蹤編號分別為CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。needrestart是一個用于檢測庫升級后需要重啟的守護進程的實用程序，它在系統維護和安全更新中扮演著重要角色。

值得注意的是，這些漏洞最初是在2014年4月發布的needrestart 0.8版本中引入的，而直到2024年11月19日發布的3.8版本中才得以修復。這意味著，在這長達十年的時間里，任何使用needrestart的Ubuntu Linux系統都可能面臨被攻擊的風險。

CVE-2024-10224和CVE-2024-11003則與needrestart使用的Perl ScanDeps模塊有關。其中，CVE-2024-10224是由于ScanDeps模塊對攻擊者提供的文件名處理不當，使得攻擊者能夠構造出類似shell命令的文件名來執行任意命令。而CVE-2024-11003則是因為ScanDeps模塊中不安全地使用eval函數，導致在處理攻擊者控制的輸入時可能執行任意代碼。