Ubuntu桌面用户这回真栽了。CVE-2026-3888这个漏洞,CVSS直接打到7.8分,Qualys威胁研究团队把它扒得干干净净:默认安装的Ubuntu 24.04及更高版本,攻击者只要本地低权限账号,就能通过snap-confine和systemd-tmpfiles的“完美配合”拿到完整root权限。
核心问题出在两个系统组件的意外互动上。snap-confine负责给snap应用建沙箱,创建/tmp/.snap这样的目录来管理挂载点。systemd-tmpfiles则像定时清道夫,每隔一段时间就把/tmp、/run、/var/tmp里过期的文件目录全删掉。Ubuntu 24.04默认清理周期是30天,25.10及以后直接缩短到10天。
攻击者抓住的就是这个窗口期。先耐心等systemd-tmpfiles把/tmp/.snap删干净。删完之后,攻击者立刻重建同名目录,里面塞上自己准备的恶意文件。等下一次snap应用启动沙箱时,snap-confine会以root身份bind mount这些文件进去。结果?恶意代码直接在特权上下文跑起来,root到手。
整个过程不需要用户交互,攻击复杂度高主要卡在时间窗口。普通用户得等10到30天才有机会出手一次。但一旦得手,系统就彻底沦陷。Qualys直言:这不是理论漏洞,影响面覆盖所有默认装了snapd的Ubuntu桌面机。
官方已经紧急打补丁。Ubuntu 24.04 LTS需要把snapd升级到2.73+ubuntu24.04.1以上。25.10 LTS要2.73+ubuntu25.10.1以上。开发中的26.04直接要求2.74.1+ubuntu26.04.1。snapd上游主线则必须升到2.75才能彻底修复。没更新的机器现在等于开着后门等敲门。
更扎心的是,Qualys顺手还挖出了uutils coreutils里的一个race condition。攻击者能在root cron任务执行期间,把目录条目替换成符号链接。成功的话能直接删root拥有的文件,或者继续瞄准snap沙箱目录搞进一步提权。Ubuntu 25.10直接把默认rm命令回滚到GNU coreutils,就是为了临时堵这个窟窿。上游uutils仓库后来也补了修复。
加密市场今天风平浪静,BTC现报$74,131(24h +0.10%),ETH现报$2,326(24h +0.66%)。但安全圈已经炸锅。Linux桌面用户基数本来就不小,snap又是Canonical强推的打包格式,大量开发者、企业运维、个人用户都在用Ubuntu 24.04 LTS当主力机。10-30天的等待期听起来长,可对有耐心的黑产来说,这根本不算事儿。尤其很多共享主机、实验室电脑、甚至某些云桌面镜像,默认就是这个版本。
过去几年我们见过太多“本地提权秒变root”的漏洞,最后往往演变成供应链攻击的跳板。想想看,一旦攻击者进了root,加密钱包、SSH私钥、浏览器种子短语,全都能被一锅端。尤其现在DeFi和链上资产规模巨大,root权限等于直接开保险柜。
Canonical这次反应算快,补丁没拖。但现实很骨感:多少用户会第一时间升级snapd?企业环境里测试上生产往往要走流程,小公司和个人用户更是能拖就拖。漏洞公开后,黑客社区肯定已经在PoC上跑分了。10天到30天的窗口,听着遥远,真等到清理周期触发那天,很多机器恐怕已经中招。
赶紧查一下自己的snapd版本。命令行敲snap version,看看是不是还在易受攻击的2.73以下。没升的,尽快apt update && apt upgrade snapd。别觉得自己不跑snap应用就安全——snapd默认装着,漏洞就在那儿躺着。安全这东西,从来不等人。