Qualys发现Ubuntu Desktop 24.04及以上版本存在本地提权漏洞CVE-2026-3888，攻击者可通过snap-confine和systemd-tmpfiles的交互获取root权限。该漏洞利用需10-30天时间窗口，但可完全控制系统。Ubuntu 25.10中发现的uutils coreutils漏洞已提前修复。

重要安全漏洞CVE-2026-3888：Snap缺陷可致本地权限提升至root

漏洞概述
网络安全公司Qualys威胁研究团队发现Ubuntu Desktop 24.04及以上版本存在本地提权漏洞（CVE-2026-3888）。该漏洞通过系统组件snap-confine与systemd-tmpfiles的交互，可使本地低权限用户获取root权限。虽然攻击需等待10-30天的时间窗口，但成功后将完全控制系统。

受影响组件
* snap-confine：管理Snap应用的沙盒环境（具有set-user-ID-root权限）
* systemd-tmpfiles：清理超过时限的临时文件（默认清理周期：Ubuntu 24.04为30天，后续版本为10天）

攻击原理
1. 攻击者等待系统清理/tmp/.snap目录
2. 重建该目录并植入恶意文件
3. 当snap-confine以root权限挂载这些文件时，触发任意代码执行

风险评级
CVSS v3.1评分7.8（高危），攻击复杂度高，需本地访问权限。

受影响版本及修复方案
需立即升级以下snapd版本：
- Ubuntu 24.04 LTS → 2.73+ubuntu24.04.2
- Ubuntu 25.10 LTS → 2.73+ubuntu25.10.1
- Ubuntu 26.04 LTS → 2.74.1+ubuntu26.04.1
- 上游版本 → 2.75

关联漏洞
在Ubuntu 25.10预发布审核中，Qualys还发现uutils coreutils包的rm工具存在竞争条件漏洞（可导致root权限文件删除），该问题已通过恢复GNU coreutils得到修复。

检测与修复工具
Qualys提供以下解决方案：
- 漏洞检测QID：386810
- 资产管理工具CSAM 3.0识别受影响资产
- VMDR漏洞管理平台提供优先级评估
- 补丁管理支持自动化修复

技术细节
完整分析见：
https://cdn2.qualys.com/advisory/2026/03/17/snap-confine-systemd-tmpfiles.txt

（注：原文中产品推广及图片链接等非技术内容已精简）

以下是评论内容的总结：

1. 关于漏洞的讨论

   • 发现uutils coreutils存在本地漏洞（竞态条件），可能导致权限提升（LPE），但已在Ubuntu 25.10中修复。
     引用："This vulnerability was mitigated in Ubuntu 25.10 before its release... would otherwise have resulted in an LPE."
   • 建议直接阅读技术细节链接，而非冗长的文章。
     引用："Better to follow the link to the technical details and just read those."

2. 对系统复杂性的质疑

   • 质疑此类漏洞是否与更复杂的软件（如snap和systemd）有关。
     引用："I wonder if... this sort of thing could have happened in the simpler pre-snap, pre-systemd systems?"
   • 认为SUID（设置用户ID）是一个设计错误，多次导致权限提升漏洞。
     引用："When will these distros accept suid was a mistake and disable it."

3. 对Snap的批评

   • 批评Snap的安全承诺未能实现，建议禁用snapd并转向Flatpak或源码构建。
     引用："The frustrating part is that Snap's confinement story was supposed to be a selling point."
   • 用户表示已完全避免使用Snap，因其增加了攻击面。
     引用："It is possible to just not use snap on ubuntu... why add a whole new huge surface area."

4. 对Ubuntu的负面评价

   • 认为Ubuntu因一系列 questionable 决策而失去吸引力，建议改用Debian。
     引用："It is a pile of questionable decisions with a billionaire ego bus factor."
   • 用户长期使用Ubuntu，但强烈反对Snap。
     引用："Even though I've used ubuntu since 6.04, fuck snaps."

5. 技术改进建议

   • 建议采用用户特定的临时目录（如MacOS的$TMPDIR），以减少漏洞。
     引用："The shared /tmp/ directory... seems extremely prone to causing this type of issue."
   • 质疑snap-confine为何不使用用户命名空间而非SUID。
     引用："Why does snap-confine need to be setuid, rather than use a user namespace?"

6. 其他观点

   • 认为本地权限提升漏洞在Linux桌面环境中并不突出，因sudo本身易受中间人攻击。
     引用："until they make it so you can't trivially MitM sudo, I don't think any local privilege execution bugs... are especially notable."
   • 批评systemd-tmpfiles的设计，认为其清理/tmp的收益微乎其微。
     引用："systemd-tmpfiles bugs the heck out of me... saves a maximum of 4GB of disk space."

总结：评论主要围绕漏洞修复、Snap和Ubuntu的批评、系统设计改进展开，多数观点对Snap和Ubuntu持负面态度，同时提出了一些技术改进建议。