(つ`ω´)つ => Ubuntu 台灣社群: CVE-2026-3888：重大 Snap 漏洞可讓本機攻擊者提權取得 root 權限（★ 101 分） Qualys Threat Research Unit (TRU，Qualys 威脅研究團隊) 指出，Ubuntu Desktop 24.04 起的預設安裝存在本機權限提升漏洞 CVE-2026-3888，可讓無特權的本機攻擊者最終升級為 root。問題出在兩個常見元件的非預期互動：負責啟動 Snap 沙盒的 snap-confine 與負責清理暫存目錄的 systemd-tmpfiles。雖然利用條件帶有時間延遲，必須等到特定清理週期才有 10 到 30 天的時間窗可下手，但一旦成功就是整台主機被完全接管。文章解釋，Snap 由背景常駐程式 snapd 管理安裝、更新與權限政策；其中 snap-confine 是 setuid (set-user-ID，設定使用者 ID) 的 root 程式，用來建立沙盒隔離，例如 mount namespace（掛載命名空間）、cgroup (control groups，Linux 資源控管機制)、載入 AppArmor（Linux 強制存取控制）政策與 seccomp（系統呼叫過濾）。systemd-tmpfiles 則依規則定期維護 /tmp、/run、/var/tmp 等目錄。CVE-2026-3888 的利用鏈是：當 systemd-tmpfiles 把 /tmp/.snap 這個 snap-confine 會用到的關鍵目錄清掉（Ubuntu 24.04 約 30 天、後續版本約 10 天）後，攻擊者搶先重建同名目錄並放入惡意內容；下一次 snap-confine 初始化沙盒時，會以 root 身分進行 bind-mount（繫結掛載）等操作，導致攻擊者程式以特權環境執行。Qualys 給出 CVSS v3.1 (Common Vulnerability Scoring System，通用漏洞評分系統) 7.8 分，屬高風險；已修補的版本包含 Ubuntu 24.04 的 snapd 2.73+ubuntu24.04.2、Ubuntu 25.10 的 2.73+ubuntu25.10.1、Ubuntu 26.04 開發版的 2.74.1+ubuntu26.04.1，以及上游 snapd 2.75，並建議 Ubuntu Desktop 24.04 以上立即更新，舊版 16.04 到 22.04 即便非預設情況不受影響，也建議一併套用修補以降低非標準設定的風險。另外，Qualys 在 Ubuntu 25.10 發行前協助檢視 uutils coreutils（以 Rust 重寫 GNU coreutils 的基本工具）時，也發現 rm 指令存在競爭條件（race condition）：無特權使用者可在 root 擁有的 cron（排程）作業執行期間，把目錄項目替換成符號連結（symlink），讓 root 刪除任意檔案，或把這種能力串成後續的權限提升（例如瞄準 Snap 沙盒相關目錄）。Ubuntu 安全團隊在公開發行前先將預設 rm 回復為 GNU coreutils 版本以快速止血，上游 uutils 也已補上修正。 Hacker News 的留言多半把焦點放在「攻擊面」：snap-confine 需要 setuid root、snapd 又是具特權的安裝與隔離管理元件，讓不少人認為 Snap 的隔離承諾反而引入更大的風險，並分享停用 snapd、改用 Flatpak 或自行編譯的做法。也有人認為這不該怪 systemd，因為任何 /tmp 清理機制都可能觸發同類問題；根因是世界可寫的 /tmp 搭配可預測路徑 /tmp/.snap 與 ToCToU (Time of Check to Time of Use，檢查與使用時間差) 類競爭，建議改用使用者專屬暫存目錄（例如 $XDG_RUNTIME_DIR，通常是 /run/user/$UID）或隨機目錄名，並用 open(2)+fstat(2)、openat/mkdirat 等以檔案描述元為核心的一致性檢查來降低風險。針對「Rust 會更安全」的期待，討論也偏保留：多數人認為 Rust 主要改善記憶體安全，無法自動避免跨程序、跨檔案系統的競爭或邏輯錯誤，重寫工具在早期出現較多新漏洞並不意外（有人引用 Bathtub curve「浴缸曲線」）；同時也延伸到「是否該全面淘汰 setuid」與「snap-confine 能否改用 user namespace（Linux 使用者命名空間）」的取捨。另有讀者指出原文較冗長且帶產品推廣，直接讀 Qualys 的技術公告更清楚，並分享 CVEProject 在 GitHub 發佈清單可用於追蹤新 CVE。 👥 63 則討論、評論 💬 https://news.ycombinator.com/item?id=47427208 #69bb74b400bd85054f39f734

(つ`ω´)つ says to Ubuntu 台灣社群

CVE-2026-3888：重大 Snap 漏洞可讓本機攻擊者提權取得 root 權限（★ 101 分） Qualys Threat Research Unit (TRU，Qualys 威脅研究團隊) 指出，Ubuntu Desktop 24.04 起的預設安裝存在本機權限提升漏洞 CVE-2026-3888，可讓無特權的本機攻擊者最終升級為 root。問題出在兩個常見元件的非預期互動：負責啟動 Snap 沙盒的 snap-confine 與負責清理暫存目錄的 systemd-tmpfiles。雖然利用條件帶有時間延遲，必須等到特定清理週期才有 10 到 30 天的時間窗可下手，但一旦成功就是整台主機被完全接管。文章解釋，Snap 由背景常駐程式 snapd 管理安裝、更新與權限政策；其中 snap-confine 是 setuid (set-user-ID，設定使用者 ID) 的 root 程式，用來建立沙盒隔離，例如 mount namespace（掛載命名空間）、cgroup (control groups，Linux 資源控管機制)、載入 AppArmor（Linux 強制存取控制）政策與 seccomp（系統呼叫過濾）。systemd-tmpfiles 則依規則定期維護 /tmp、/run、/var/tmp 等目錄。CVE-2026-3888 的利用鏈是：當 systemd-tmpfiles 把 /tmp/.snap 這個 snap-confine 會用到的關鍵目錄清掉（Ubuntu 24.04 約 30 天、後續版本約 10 天）後，攻擊者搶先重建同名目錄並放入惡意內容；下一次 snap-confine 初始化沙盒時，會以 root 身分進行 bind-mount（繫結掛載）等操作，導致攻擊者程式以特權環境執行。Qualys 給出 CVSS v3.1 (Common Vulnerability Scoring System，通用漏洞評分系統) 7.8 分，屬高風險；已修補的版本包含 Ubuntu 24.04 的 snapd 2.73+ubuntu24.04.2、Ubuntu 25.10 的 2.73+ubuntu25.10.1、Ubuntu 26.04 開發版的 2.74.1+ubuntu26.04.1，以及上游 snapd 2.75，並建議 Ubuntu Desktop 24.04 以上立即更新，舊版 16.04 到 22.04 即便非預設情況不受影響，也建議一併套用修補以降低非標準設定的風險。另外，Qualys 在 Ubuntu 25.10 發行前協助檢視 uutils coreutils（以 Rust 重寫 GNU coreutils 的基本工具）時，也發現 rm 指令存在競爭條件（race condition）：無特權使用者可在 root 擁有的 cron（排程）作業執行期間，把目錄項目替換成符號連結（symlink），讓 root 刪除任意檔案，或把這種能力串成後續的權限提升（例如瞄準 Snap 沙盒相關目錄）。Ubuntu 安全團隊在公開發行前先將預設 rm 回復為 GNU coreutils 版本以快速止血，上游 uutils 也已補上修正。 Hacker News 的留言多半把焦點放在「攻擊面」：snap-confine 需要 setuid root、snapd 又是具特權的安裝與隔離管理元件，讓不少人認為 Snap 的隔離承諾反而引入更大的風險，並分享停用 snapd、改用 Flatpak 或自行編譯的做法。也有人認為這不該怪 systemd，因為任何 /tmp 清理機制都可能觸發同類問題；根因是世界可寫的 /tmp 搭配可預測路徑 /tmp/.snap 與 ToCToU (Time of Check to Time of Use，檢查與使用時間差) 類競爭，建議改用使用者專屬暫存目錄（例如 $XDG_RUNTIME_DIR，通常是 /run/user/$UID）或隨機目錄名，並用 open(2)+fstat(2)、openat/mkdirat 等以檔案描述元為核心的一致性檢查來降低風險。針對「Rust 會更安全」的期待，討論也偏保留：多數人認為 Rust 主要改善記憶體安全，無法自動避免跨程序、跨檔案系統的競爭或邏輯錯誤，重寫工具在早期出現較多新漏洞並不意外（有人引用 Bathtub curve「浴缸曲線」）；同時也延伸到「是否該全面淘汰 setuid」與「snap-confine 能否改用 user namespace（Linux 使用者命名空間）」的取捨。另有讀者指出原文較冗長且帶產品推廣，直接讀 Qualys 的技術公告更清楚，並分享 CVEProject 在 GitHub 發佈清單可用於追蹤新 CVE。 👥 63 則討論、評論 💬 https://news.ycombinator.com/item?id=47427208

at Thu, Mar 19, 2026 11:59 AM