CVE-2025-6018 和 CVE-2025-6019漏洞引发的思考

一、CVE-2025-6018 和 CVE-2025-6019漏洞对麒麟和统信UOS系统有影响吗？

这两个漏洞确实对麒麟和统信UOS系统有影响。根据最新的信息，可以明确如下：

1、CVE-2025-6018：Linux PAM 权限提升漏洞

这个漏洞存在于 Linux PAM (可插拔认证模块) 的配置中，可能允许远程登录系统的低权限用户获得 polkit 策略的“allow_active”认证，从而拥有与机器本地用户相同的权限，导致可以执行重启、关机、访问敏感DBus接口等特权操作。

• 对麒麟和统信UOS的影响： 鉴于这两个系统都是基于 Linux 的发行版，并且广泛使用 PAM 进行认证管理，如果它们使用的 libpam 库版本受到影响，那么这两个系统都将面临此漏洞的威胁。有复现报告明确指出 UOS Server 20 和 Kylin-Server-V10-SP3 存在该漏洞。

2、CVE-2025-6019：libblockdev 权限提升漏洞

这是一个本地权限提升（LPE）漏洞，存在于 libblockdev 库和 udisks2 组件中。攻击者可以通过利用这个漏洞，在受影响的系统上实现本地权限提升，获得 root 权限。

• 对麒麟的影响： 阿里云漏洞库（虽然是旧信息，但仍有参考价值）明确指出麒麟系统的一些版本，例如 kylinos_aarch64_V10、kylinos_aarch64_V10HPC、kylinos_aarch64_V10SP1、kylinos_aarch64_V10SP2 和 kylinos_aarch64_V10SP3，都含有受影响的 udisks2 组件，并且其 libblockdev 版本也在受影响范围内。这表明麒麟系统是受此漏洞影响的。

• 对统信UOS的影响： 有复现报告指出 UOS Server 20 同样受到此漏洞的影响。此外，统信安全应急响应中心 (USRC) 也会发布其产品的安全公告，建议关注其官方网站获取最新补丁信息。

3、重要的建议

鉴于这两个漏洞都涉及权限提升，潜在危害较大，强烈建议：

1. 及时更新系统： 麒麟和统信UOS的官方都应该会针对这些漏洞发布安全更新。请务必密切关注其官方网站或通过系统自带的更新工具，及时下载并安装最新的安全补丁。

2. 关注官方公告： 定期查看麒麟操作系统和统信UOS的官方安全公告。这些公告会提供最准确的漏洞影响范围、修复方案和更新说明。

3. 强化安全配置： 除了打补丁外，也应遵循系统安全最佳实践，例如：

   • 限制不必要的服务和端口。

   • 实施最小权限原则。

   • 使用强密码策略。

   • 部署入侵检测/防御系统。

二、深度定制的麒麟和统信UOS系统漏洞能否第一时间提供

如果麒麟和统信UOS系统对底层开源组件进行了深度定制和修改，那么修复这些漏洞确实会比直接应用上游开源社区发布的补丁更加复杂。

以下是复杂性增加的几个主要原因：

1、补丁合并冲突

开源社区发布的漏洞补丁是针对其标准版本的代码。当麒麟和统信UOS对这些代码进行了大量修改后，直接应用这些补丁很可能会遇到代码冲突。解决这些冲突需要耗费大量时间和人力，因为它涉及到理解原始补丁的意图、理解本地修改的功能，并找到一种方式将两者兼容地融合在一起。这就像是修改了一本书的特定段落，然后作者又发布了一个针对原书这个段落的修正，你需要仔细比对并决定如何将修正融入你已经改过的版本。

2、兼容性测试与回归风险

深度定制意味着系统中的各个组件可能彼此高度依赖，并且与上游开源版本的依赖关系有所不同。应用补丁后，即使解决了代码冲突，也需要进行广泛的兼容性测试，以确保新补丁不会破坏系统现有的功能、引入新的bug或影响性能。这被称为“回归测试”，对于深度定制的系统来说，回归测试的范围和复杂性会大大增加。

3、自研代码的漏洞引入

在深度定制的过程中，如果麒麟和统信UOS加入了大量自研代码，那么这些自研代码本身也可能存在漏洞。开源社区发布的补丁无法覆盖这些自研代码中的安全问题。这意味着系统厂商除了要关注上游漏洞外，还要对其自研部分进行独立的漏洞审计和修复。

4、依赖关系复杂性

深度定制还可能导致软件包的依赖关系图变得更加复杂或与标准发行版不同。一个看似简单的补丁可能需要更新多个相互依赖的库或组件，而这些更新又可能在定制环境中引发新的问题。

总结

总而言之，虽然麒麟和统信UOS基于开源技术，但它们的商业化和国产化策略使其在系统层面进行了大量的优化和修改。这在提供独特功能和性能的同时，也为安全补丁的发布和应用带来了挑战。因此，用户应该更依赖官方发布的针对其特定版本的安全更新，而不是尝试自行应用上游开源社区的补丁。

三、用户面对的风险

深度定制确实会给用户带来更大的风险，尤其是在面对这些公开漏洞时。

这里是为什么用户面临更大风险的几个关键原因：

1、补丁发布周期延长

由于定制系统修复漏洞的复杂性，麒麟和统信UOS等厂商需要更多时间来：

• 分析上游漏洞对他们定制版本的影响。

• 开发兼容性补丁。

• 测试补丁以确保不会引入新的问题（回归）。

这意味着从上游开源社区发布漏洞补丁到用户最终获得适用于其定制系统的补丁之间，会有一个时间滞后。在这个窗口期内，系统将持续暴露在已公开的漏洞风险之下，攻击者有更多的时间来利用这些已知弱点。

2、信息不对称与不透明

开源社区的漏洞信息通常非常透明和及时。但对于深度定制的系统，用户可能无法直接参照上游的漏洞报告来判断自己的系统是否受影响，或者何时能获得修复。用户必须完全依赖系统厂商的官方公告和支持，如果厂商在这方面的响应不够迅速或信息不够透明，用户的风险感知和应对能力就会受到影响。

3、更高的维护成本和复杂性

对于企业级用户或对安全要求高的个人用户而言，管理和维护定制系统的安全状态会更复杂。他们不能简单地套用通用 Linux 发行版的安全建议或工具，而是需要：

• 更紧密地关注其特定发行版的安全通知。

• 可能需要更专业的团队来处理系统更新和安全审计。

4、潜在的“供应商锁定”风险

一旦用户选择了深度定制的系统，他们就更深地绑定到了该供应商的安全更新流程上。如果供应商在安全响应方面表现不佳，用户更换系统或寻求其他解决方案的成本会非常高。

总而言之，深度定制在带来特定功能和性能优势的同时，也确实在安全方面给用户带来了额外的挑战和风险。因此，选择这类系统的用户需要更关注厂商的安全响应能力、补丁发布策略以及持续的技术支持。

四、 厂商通常会如何缓解这些风险

虽然深度定制的系统在安全修复上确实面临挑战，但这些厂商通常会采取一系列措施来缓解用户面临的风险。

以下是麒麟、统信UOS这类系统厂商通常会采取的策略：

1、专业的安全团队和流程

这些厂商都会建立专门的安全响应团队（PSIRT或类似团队）。他们的主要职责包括：

• 持续监控上游开源社区的安全漏洞信息。

• 分析这些漏洞对其定制系统的影响。

• 快速开发和验证针对定制代码的补丁。

• 协调发布安全公告和更新。

有了专业的团队和规范的流程，他们可以尽可能缩短从漏洞发现到补丁发布的时间窗口。

2、与上游社区的紧密合作

尽管进行了定制，但优秀的厂商会努力与他们所依赖的开源项目（如Linux内核、GNOME、KDE等）的上游社区保持紧密联系。这种合作有助于：

• 更早地获取漏洞信息，甚至在漏洞公开之前（例如通过私有邮件列表或协调披露流程）。

• 更好地理解漏洞的根本原因和推荐的修复方案。

• 影响上游开发，使其补丁设计更易于兼容定制版本。

3、提供长期支持版本 (LTS)

像麒麟和统信UOS这样的操作系统通常会提供长期支持（LTS）版本。这意味着：

• 这些版本会有更长的安全更新周期，厂商会承诺在多年内持续为这些版本提供漏洞修复和安全补丁。

• 用户可以获得一个更稳定、更可预测的更新策略，避免频繁的大版本升级带来的不便和风险。

4. 严格的内部测试和质量控制

在发布任何安全补丁之前，厂商会进行严格的内部测试和质量控制。这包括：

• 自动化测试：使用工具检查补丁是否引入了回归。

• 人工测试：在各种硬件配置和应用场景下进行实际测试。

• 兼容性测试：确保补丁不会影响系统与其他软硬件的兼容性。

这虽然会增加补丁发布的所需时间，但可以避免因补丁本身引入新问题而给用户带来更大的麻烦。

5、健全的补丁分发机制

厂商会建立可靠、便捷的补丁分发渠道，如：

• 官方软件源：通过系统自带的包管理器（如APT或DNF）提供安全更新。

• 官方网站：发布详细的安全公告、更新说明和补丁下载链接。

• 企业级支持：为购买了服务的大客户提供更定制化、更及时的安全支持和技术咨询。

6. 定期安全审计和渗透测试

为了发现自研代码中的漏洞，这些厂商会定期对其系统进行内部和外部的安全审计及渗透测试。这有助于在漏洞被恶意利用之前就将其识别并修复。

通过上述措施，虽然定制系统的安全修复确实有其复杂性，但厂商能够有效降低用户面临的风险，确保系统在安全性和稳定性之间取得平衡。 

五、缓解措施对系统厂家的挑战

上述缓解措施对系统厂家是一个巨大的挑战，首先其需要真正、完全地理解开源的OS，其次要保证技术人员的稳定，最后要有足够的资金来维持。

1、真正、完全理解开源操作系统

这远不止是“使用”开源代码那么简单。它要求厂商的研发团队：

• 深入理解底层原理： 不仅仅是 API 如何调用，更是内核、库、框架的工作机制，以及它们之间的复杂交互。当上游发现一个漏洞时，厂商需要迅速定位到这个漏洞对他们定制版本的影响，这需要对相关模块有极其透彻的理解。

• 掌握上游开发趋势： 开源项目在不断迭代，新的功能和优化会引入新的代码，也可能带来新的潜在风险。厂商需要持续跟踪这些变化，以便在自己的版本中进行同步和适配。

• 具备调试和故障排除能力： 当安全补丁导致兼容性问题或引入新 bug 时，团队必须有能力深入源代码层面进行调试和修复，而不是仅仅依赖上游。

这就像要求一个工程师不仅会开汽车，还要完全理解汽车的每一个零件如何工作，甚至能自行设计和改进零件。

2、保证技术人员的稳定

在当前激烈的技术人才竞争中，维持一支高水平、经验丰富且稳定的技术团队是一个巨大的挑战。

• 专业知识的稀缺性： 能够真正深入理解并定制操作系统底层代码的工程师在全球范围内都属于稀缺人才。培养这样的人才需要时间，而让他们保持竞争力则需要持续的投入。

• 经验的累积性： 解决复杂的兼容性问题、调试深层系统 bug，这些都需要长期的实践和经验积累。人员流失意味着经验的流失，会大大拖慢漏洞修复和系统维护的效率。

• 激励与保留： 除了有竞争力的薪酬，还需要有吸引人的技术挑战、良好的职业发展路径和企业文化，才能留住这些关键人才。

如果核心技术人员频繁变动，每次有新的漏洞出现，团队都需要重新摸索和适应，这将极大增加修复的难度和时间。

3、足够的资金来维持

上述提到的前两点，最终都归结于对资金的巨大需求。

• 研发投入： 雇佣和保留顶尖的技术人才成本高昂，持续的研发投入是必不可少的。这包括人力成本、设备投入、测试环境搭建等。

• 安全审计和测试： 进行定期的安全审计、渗透测试，以及大量的兼容性测试和回归测试，都需要投入大量的资金和资源。

• 长期支持成本： 提供LTS版本意味着厂商需要在数年内持续为旧版本提供安全更新，这本身就是一笔长期的投入，即使该版本不再有新的功能开发。

• 与上游的合作成本： 参与上游社区的开发和沟通也需要投入人力物力。

如果资金链出现问题，最先受到影响的可能就是那些不直接产生利润但对系统稳定性至关重要的安全维护工作。

综上所述，对于麒麟和统信UOS这样的定制OS厂商而言，要有效缓解这些公开漏洞带来的风险，并保证系统的长期安全稳定，确实需要强大的技术实力、稳定的人才队伍以及持续的资金投入。这不仅是技术挑战，更是管理和战略层面的巨大考验。 

六、如何选择OS厂商

在选择操作系统厂商时，特别是对于关键业务或对数据安全有高要求的场景，我们需要更加慎重。这不仅仅是看系统功能是否满足需求，更要深入评估厂商的长期安全保障能力。

以下是一些可以考虑的关键因素，帮助我们在选择OS厂商时做出更全面的判断：

1、安全响应机制与透明度

• 安全团队的实力和响应速度： 厂商是否拥有专业的安全团队？他们对漏洞的响应速度如何？能否及时发布补丁？

• 安全公告的透明度： 厂商是否定期发布安全公告？公告中是否清晰说明漏洞的影响范围、修复进度和建议措施？信息是否容易获取？

• 与上游社区的协作： 厂商是否积极参与上游开源社区，以便更早获取漏洞信息并协调修复？

2、 更新策略与支持周期

• 长期支持（LTS）版本： 厂商是否提供LTS版本？这些版本的支持周期有多长？这能保证你的系统在较长时间内获得持续的安全更新。

• 补丁发布频率： 厂商发布安全补丁的频率如何？是定期发布还是只在发现严重漏洞时才发布？

• 更新机制的可靠性： 系统的更新机制是否稳定、安全、易于操作？

3. 技术实力与资金投入

• 研发投入和技术积累： 厂商是否持续在研发上投入，以提升系统底层安全能力和解决定制化带来的复杂性？

• 人才稳定性： 厂商能否吸引并留住顶尖的系统级安全专家和开发人员？这是保证持续安全维护的核心。

• 业务可持续性： 厂商的财务状况和市场地位是否稳健，以确保其有足够的资源来长期支持和维护其操作系统产品？

4. 生态系统与第三方审计

• 安全认证与合规性： 系统是否通过了相关的安全认证或符合行业合规性标准？

• 第三方安全审计： 厂商是否愿意接受独立的第三方安全审计？这能为系统的安全性提供额外的验证。

• 社区支持与反馈： 如果有活跃的开发者或用户社区，有时也能间接反映厂商对安全的重视程度和响应能力。

选择一个操作系统，不仅仅是选择一个产品，更是选择一套安全保障体系和服务。面对日益复杂的网络安全威胁，一个能够持续、及时、透明地提供安全更新和支持的OS厂商，无疑能大大降低我们的系统面临的风险。

七、引发的思考

1、深度定制的“原罪”与挑战

基于开源Linux进行深度定制的操作系统，其大量的修改违背了开源 Linux 的宗旨，开源 Linux 的强大在于其开放性、通用性和社区协作。当一个厂商为了所谓的“自主可控”或特定需求进行深度、底层、闭源式的定制时，必然会带来以下问题：

1. 违背“通用性”与“模块化”： Linux 内核和其生态之所以强大，是因为它被设计成高度通用和模块化的。各个发行版可以在这个通用核心之上添加或删除组件，但底层规则和接口是相对稳定的。深度定制往往意味着对这种通用性的破坏，导致其定制版本与上游开源社区的同步变得异常困难。

2. “搭便车”的代价： 深度定制 OS 仍然严重依赖上游开源社区的持续更新和漏洞修复。当上游发布补丁时，定制 OS 厂商需要花费巨大精力去适配、合并、测试，这相当于他们在使用社区的成果，却因为自己的定制而无法轻松回馈或同步，甚至成为一种负担。

3. 巨大的“技术债”： 每一次深度修改，都是在积累技术债。这些修改可能在短期内解决了某个特定问题，但长期来看，它会增加未来升级和维护的复杂性。当上游核心组件发生重大更新或架构调整时，深度定制的 OS 可能会发现自己陷入一个“不可能完成”的境地，因为同步所需的投入是天文数字。

4. 安全漏洞修复的困境：一旦出现安全漏洞，深度定制意味着：

   • 定位困难： 定制代码可能引入新的漏洞，或改变已知漏洞的触发方式。

   • 修复复杂： 上游补丁无法直接应用，需要耗费大量人力进行适配和回归测试。

   • 时间滞后： 导致系统长期处于高风险状态。

5. 人才与资金的巨大消耗： 维持一支能理解、修改、维护这些深度定制代码的团队成本极高，且人才稀缺。缺乏可持续的资金投入，这种模式根本无法维继。

2、开源 Linux 的核心优势：通用性与群体智慧

开源 Linux 核心优势是“通用性”和“群体智慧”，这是其成功的基石：

1. 统一规则与架构： 虽然有上千个 Linux 发行版，但它们都共享同一个 Linux 内核，并遵循着一套相对统一的 POSIX 标准和开发规范。这种统一性保证了代码的可移植性和兼容性。

2. 全球协作的“群体智慧”： 当一个漏洞被发现时，全球的开发者和安全专家都能参与分析、讨论并贡献修复方案。这种分布式、协作式的开发模式，使得问题能够被快速定位和解决，补丁能迅速传播并被集成到各个发行版中。

3. 透明性与审查： 开源代码是开放的，任何人都可以审查，这有助于发现潜在的 bug 和安全漏洞，并确保代码质量。

4. 生态繁荣的基础： 正是这种通用性和开放性，吸引了无数的开发者、硬件厂商、软件公司围绕 Linux 构建生态。他们可以基于一个稳定的、可预测的底层进行开发，从而降低了成本，加速了创新。

结论：深度定制的风险与出路

如果将“自主可控”等同于“深度底层定制”，是一条充满巨大风险，甚至可能是死胡同的路。这种模式牺牲了开源的本质优势，却背负了沉重的技术负担和经济压力。

如果国产 OS 要真正成功，可能需要重新思考“自主可控”的内涵：

• 真正的自主可控可能在于对核心技术路线的把握，对关键开源项目的贡献和影响力，以及在上层应用生态的掌控力，而非对底层代码的盲目“改动”和“私有化”。

• 更好的模式可能是更多地参与上游开源社区，成为核心贡献者，影响开源项目的发展方向，同时在应用层、服务层、解决方案层进行创新和优化，构建自己的生态。这样既能利用开源的群体智慧，又能实现真正的价值创造和控制力。

八、建议：基于开源 Linux 设计自己的发行版，并将大量精力投入到对上游开源代码的审查、贡献与完善上

事实上，与其深度定制，不如基于开源Linux设计自已的发行版，并将大多数精力投入到对开源Linux代码的审查上，与全球开源爱好者共同去完善、健全开源Linux的安全性、稳定性，这样也可以融入到世界中。

1、为什么“基于开源Linux设计发行版并投入代码审查”是更好的策略？

1. 利用“群体智慧”解决安全与稳定性问题：

   • 我强调的代码审查（Code Review）正是开源模式的核心优势之一。与其小范围地在自己定制的代码上进行审查，不如将精力投入到上游开源 Linux 代码的审查和完善上。

   • 这意味着我们的工程师不再是“追赶者”和“修补匠”，而是“贡献者”和“核心参与者”。他们发现的任何安全漏洞或性能问题，一旦被上游社区接受并修复，全球所有基于 Linux 的发行版都能受益，包括我们自己的。

   • 这种模式下，安全性和稳定性不再是某个厂商的孤岛，而是全球开发者共同的责任和成果。问题能被更快发现、更高质量地修复，因为有更多的眼睛在审视代码。

2. 降低维护成本与技术债务：

   • 如果我们设计的发行版能最大程度地保持与上游 Linux 内核和关键组件的兼容性，那么当上游发布更新和安全补丁时，我们的发行版就能更平滑、更快速地同步。

   • 这大大减少了因深度定制而产生的合并冲突和兼容性测试负担，从而降低了维护成本，避免了累积巨大的技术债务。

3. 融入全球开源生态，获得话语权：

   • 积极参与开源项目的代码审查、提交补丁、参与讨论，能让我们的团队深入理解核心技术。

   • 通过持续的贡献，我们可以赢得社区的尊重和信任，从而在开源项目的发展方向和技术决策上拥有更大的话语权和影响力。这才是真正的“自主可控”——不是关起门来造轮子，而是在开放协作中掌握核心技术并施加影响。

   • 人才吸引力： 参与全球顶级的开源项目，也能为我们的企业吸引和培养更多优秀的开源人才。

4. 构建健康的应用生态：

   • 一个与上游兼容性良好的 Linux 发行版，意味着应用开发者可以更容易地将他们的软件移植过来，因为底层环境相对标准。

   • 这大大降低了应用开发的门槛和成本，有助于快速构建起一个繁荣的应用生态，而应用生态才是吸引用户的核心。

2、务实的解决方案：基于开源的合规与审计

我们提出的方案——基于开源 Linux 设计符合自己合规需求的发行版，一方面认真审查开源 Linux 代码，另一方面可以基于开源 Linux 增加自己的合规审计要求，并设计为单独的模块。这是一个非常成熟且可行的策略。

这个策略的优势在于：

1. 拥抱开源，降低成本与风险：

   • 利用全球智慧： 积极参与上游开源项目的代码审查和贡献，可以最大化地利用全球开发者的集体智慧来提升系统的安全性、稳定性和性能。这比少数人闭门造车效率高无数倍。

   • 减少技术债务： 保持与上游的同步，可以大幅降低因深度定制带来的技术债务和维护成本。当上游修复漏洞或升级功能时，我们的发行版可以更快、更平滑地整合这些变化。

   • 融入国际标准： 通过参与开源，我们的团队可以更好地理解和影响国际技术标准的发展，而不是被迫接受或从头制定一套私有标准。

2. 实现真正的“合规自主”：

   • 合规审计模块化： 将合规审计、日志记录和异常发现等安全需求设计为单独的、可插拔的模块，是非常聪明的做法。这意味着我们不需要修改 Linux 内核或核心组件，就能满足自身的合规要求。

   • 专注核心竞争力： 厂商可以将精力集中在这些特定于合规需求的模块开发上，例如：

     • 详细的系统日志记录： 确保所有关键操作和事件都能被准确、完整地记录下来，满足审计追溯需求。

     • 异常检测与告警： 开发智能模块，能够从海量日志中识别出可疑行为模式，并及时发出告警。

     • 权限与访问控制增强： 在标准 Linux 权限模型之上，增加额外的、符合合规要求的访问控制策略。

   • 透明与可信： 这些合规模块甚至可以部分开源，接受审查，增加其透明度和可信度。

3. 可持续发展与生态繁荣：

   • 这种模式更容易吸引开发者，因为他们可以在标准 Linux 环境下进行开发，只需适配少量定制的合规模块。这有助于构建一个健康的应用生态。

   • 更高的市场接受度会带来更多收入，从而形成良性循环，为持续的研发和贡献提供资金保障。

总结

我们提出的策略——基于开源 Linux 设计自己的发行版，并将大量精力投入到对上游开源代码的审查、贡献与完善上——是兼顾了“自主可控”与“融入世界”的最佳实践。这不仅能从根本上提升国产操作系统的安全性与稳定性，还能让其真正融入到全球技术潮流中，赢得发展的主动权。这需要战略眼光和长期投入，但无疑比闭门造车的深度定制更有生命力。

真正的“自主可控”不应是自我孤立和重复造轮子，而应是在开放协作中掌握核心技术，并在特定领域（如合规审计）进行创新和增强。 这既能充分利用全球开源社区的巨大优势，又能满足自身独特的安全和合规需求，从而走上一条更健康、更可持续的发展道路。