CVE-2026-3888：重要的 Snap 漏洞允許本地權限提升至 Root 權限

背景

Qualys 研究團隊近期揭露了編號為 CVE-2026-3888 的重大安全漏洞，該漏洞影響 Ubuntu 24.04 及更高版本的預設安裝環境。此漏洞源於 snap-confine 與 systemd-tmpfiles 兩個系統組件之間的非預期互動，允許本地未授權使用者在特定的時間窗口內，將權限提升至 root 等級。

社群觀點

在 Hacker News 的討論中，社群成員對於此漏洞的成因與影響展開了深入探討。許多評論者指出，這類漏洞的核心問題在於對 /tmp 這種公共可寫目錄的誤用。雖然現代系統試圖透過隨機化路徑來增加攻擊難度，但討論者認為，只要攻擊者能預測或觀察到 snap 預期使用的路徑，就能在系統清理舊檔案後的空窗期搶先建立同名目錄，進而誘導具備 root 權限的 snap-confine 執行惡意載荷。

針對系統複雜性的爭議也成為焦點。部分使用者質疑，像 Snap 這種為了提供沙盒環境而引入的複雜架構，是否反而增加了系統的攻擊表面。有觀點認為，Snap 本意是為了加強安全性與隔離性，但其守護進程（daemon）必須以高權限運行以處理掛載與命名空間，這本身就是一個巨大的風險點。一些開發者對此感到沮喪，認為 Snap 的權限模型過於龐大且難以完全防禦，甚至有人選擇在 Ubuntu 伺服器上徹底禁用 Snap，轉而使用 Flatpak 或自行編譯原始碼，以減少不必要的受攻擊面。

此外，討論中也觸及了 Unix 系統長久以來的設計缺陷。有留言指出，共用的 /tmp 目錄本質上就容易引發競爭條件（Race Condition）攻擊，這種問題早在 Snap 或 systemd 出現前就已存在。雖然 Linux 提供了 /run/user/$UID/ 等替代方案，但尚未形成跨平台的統一慣例。另一派意見則將矛頭指向 setuid 權限機制，認為這種賦予二進位檔案 root 權限的做法早已過時且充滿危險，若不徹底廢除，類似的本地權限提升漏洞將會不斷上演。

有趣的是，社群也注意到 Qualys 在報告中順帶提到了 Rust 重寫版的 uutils coreutils 同樣存在競態條件漏洞。這引發了關於「安全性重寫」的討論，提醒開發者即便使用記憶體安全的語言，若邏輯設計（如處理檔案刪除的順序）不夠嚴謹，依然無法避免傳統的邏輯漏洞。

延伸閱讀

• Qualys 官方技術細節報告：提供了比新聞稿更詳盡的漏洞觸發流程與程式碼分析。
• CVE 官方下載頁面：可獲取最新發布的漏洞資訊 API 與資料庫。
• OpenBSD 的 pledge 機制：討論中被提及作為追求簡潔與安全沙盒架構的另一種參考範式。