nomaisthere/CVE-2026-3888
GitHub: nomaisthere/CVE-2026-3888
针对 CVE-2026-3888 的深度技术分析仓库,详解 Ubuntu 24.04+ 上 snap-confine 与 systemd-tmpfiles 交互引发的本地权限提升漏洞原理与利用方法。
Stars: 0 | Forks: 0
# CVE-2026-3888 - snap-confine + systemd-tmpfiles 本地权限提升
## 概述
CVE-2026-3888 是一个影响 **Ubuntu Desktop >= 24.04** 默认安装的本地权限提升(LPE)漏洞。该漏洞由 **Qualys** 于 2026 年 3 月发现并公开披露。
正如 Qualys 自己所指出的,这个漏洞特别有趣的地方在于,它并非源于单个有缺陷的组件。相反,它源于两个独立安全程序的**交互**:
| 组件 | 角色 |
|---|---|
| `snap-confine` | SUID-root 二进制文件,为 snap 应用程序构建挂载命名空间(沙箱) |
| `systemd-tmpfiles` | Root 拥有的守护进程,定期清理 `/tmp` 中的陈旧文件 |
这两个程序单独看都没有问题。然而,它们共同创造了一个可被利用的窗口。
**原始公告:** https://cdn2.qualys.com/advisory/2026/03/17/snap-confine-systemd-tmpfiles.txt
**致谢:** Qualys 安全研究团队
## 仓库结构
```
cve-2026-3888/
├── README.md ← You are here
├── analysis/
│ ├── 01-vulnerability.md ← Deep dive into the vulnerability
│ ├── 02-race-condition.md ← How the TOCTOU race works
│ ├── 03-backpressure-technique.md ← The AF/UNIX backpressure trick
│ ├── 04-exploitation-steps.md ← Full step-by-step walkthrough
│ └── 05-mitigations.md ← What was patched and how
└── src/
├── firefox_2404.c ← Race helper (annotated)
└── librootshell.c ← Dynamic loader shellcode (annotated)
```
## 受影响版本
| Ubuntu 版本 | 清理周期 | 等待时间(实际) |
|---|---|---|
| 24.04 LTS | 30 天 | 30 天 |
| > 24.04 | 10 天 | 10 天 |
**修复版本:** snapd 2.74.2
## 攻击流程概要
1. 进入 snap 沙箱(例如 firefox) - snap-confine 以 `root:root 0755` 权限创建 `/tmp/.snap`
2. 通过周期性写入保持 `/tmp` 处于活跃状态,但让 `/tmp/.snap` 变得陈旧
3. `systemd-tmpfiles` 删除陈旧的 `/tmp/.snap` - 由于 `/tmp` 是全局可写的,攻击者重建 `.snap` 并**拥有它**
4. 使用 AF/UNIX 背压技术单步执行 `snap-confine`
5. 在模拟序列第 1 步之后的精确时刻,原子性地交换库目录
6. `snap-confine` 以 root 身份将**攻击者拥有的库**绑定挂载到命名空间中
7. 用 shellcode 覆盖 `ld-linux-x86-64.so.2` - 在此命名空间中执行的任何 SUID 二进制文件都将以 root 身份运行我们的代码
8. 通过 `/var/snap/firefox/common/` 逃逸 AppArmor 限制,获取完全特权的 shell
## 扩展阅读
- [01 - 漏洞原理分析](analysis/01-vulnerability.md)
- [02 - TOCTOU 竞态条件](analysis/02-race-condition.md)
- [03 - AF/UNIX 背压技术](analysis/03-backpressure-technique.md)
- [04 - 完整利用演示](analysis/04-exploitation-steps.md)
- [05 - 缓解措施与补丁分析](analysis/05-mitigations.md)
标签:0day挖掘, CVE-2026-3888, Exploit, LPE, Qualys, snap-confine, SUID, systemd-tmpfiles, TOCTOU, Web报告查看器, 内核安全, 子域名枚举, 客户端加密, 提权, 本地权限提升, 沙箱逃逸, 漏洞分析, 漏洞复现, 竞争条件, 系统安全, 网络安全, 路径探测, 隐私保护