[oss-security] CVE-2025-8067 - UDisks

UDisks 服务中发现高危漏洞 CVE-2025-8067，CVSS 评分为 8.5（高危）。该漏洞为越界读取（Out-Of-Bounds Read）问题，允许非特权用户通过 D-Bus 系统总线触发，可能导致服务崩溃或本地权限提升。

漏洞位于 UDisks 处理 LoopSetup 请求时的 fd_index 参数验证不完整，未检查负数值，导致可读取进程内部无效的文件描述符。攻击者可利用此漏洞映射守护进程的内部文件描述符至回环设备，进而实现权限提升。

受影响版本为 udisks2 2.10.1 及更早版本，已在 2.10.91 和 2.10.2 中修复。

建议用户尽快升级至安全版本。更多技术细节和修复建议可参考上游公告：

https://github.com/storaged-project/udisks/security/advisories/GHSA-742q-gggc-473g

#安全漏洞 #UDisks #权限提升 #Linux安全
#AIGC

Read more

DSA 5989-1

For the oldstable distribution (bookworm), this problem has been fixed
in version 2.9.4-4+deb12u2.

For the stable distribution (trixie), this problem has been fixed in
version 2.10.1-12.1+deb13u1.

nx 包被投毒，通过调用 AI CLI 工具窃取敏感资料

nx 官方简介[1]：An AI-first build platform that connects everything from your editor to CI. Helping you deliver fast, without breaking things.

由于 nx 包 Github 仓库的 Github Actions 权限配置错误，导致 npm Token 被黑客窃取。

黑客在短时间内发布了多个带毒新版本软件包，诱导受害者升级，恶意软件会通过 postinstall 过程安装。

通过 Claude Code、Gemini CLI、Amazon Q 等 AI CLI 工具执行恶意的 Prompt，在用户电脑上检索加密货币钱包的密钥、Github Token、SSH 私钥、npm Token、环境变量文件等内容，并将路径输出在一个临时文件中。

随后会利用受害者的 Github Token 创建一个公开仓库，将敏感内容 base64 编码后上传到仓库中。目前有数千人受到影响，

ref: https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware

[1]: https://github.com/nrwl/nx?tab=readme-ov-file#smart-repos--fast-builds

正在猪脚饭店吃猪肉的猪

6

消息发到投稿系统的时间是9月3日21:02

模糊的大屏和带着网页微信路径的图片文件名，亦庄的盒马这么糊弄事的么

你再想想？

总觉得哪里不对

首页给我推我看不到的东西没蚌住

南科大旋转路标是其他高校永远无法超越的巅峰

你盘满了.png

博通你真是无敌了 钱多当香烧是吧