99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Linux Polkit 權(quán)限提升漏洞通告安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-1-27

?

漏洞描述

2022年1月27日，監(jiān)測(cè)到Linux發(fā)布了pkexec的風(fēng)險(xiǎn)通告，目前該漏洞的poc已公開。polkit的pkexec實(shí)用程序中存在一個(gè)本地權(quán)限提升漏洞。當(dāng)前版本的pkexec無(wú)法正確處理調(diào)用參數(shù)計(jì)數(shù)，并最終嘗試將環(huán)境變量作為命令執(zhí)行。pkexec應(yīng)用程序是一個(gè)setuid工具，旨在允許非特權(quán)用戶根據(jù)預(yù)定義的策略以特權(quán)用戶身份運(yùn)行命令。

對(duì)此，禹宏信安建議廣大用戶及時(shí)將pkexec升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號(hào)

CVE-2021-4034

漏洞危害

攻擊者可以通過(guò)控制環(huán)境變量來(lái)利用這一點(diǎn)，從而誘導(dǎo) pkexec 執(zhí)行任意代碼。利用成功后，會(huì)導(dǎo)致本地特權(quán)升級(jí)，非特權(quán)用戶獲得管理員權(quán)限。

漏洞等級(jí)

高危
受影響版本

CentOS系列：

CentOS 6 polkit < polkit-0.96-11.el6_10.2

CentOS 7 polkit < polkit-0.112-26.el7_9.1

CentOS 8.0 polkit < polkit-0.115-13.el8_5.1

CentOS 8.2 polkit < polkit-0.115-11.el8_2.2

CentOS 8.4 polkit < polkit-0.115-11.el8_4.2

Ubuntu系列：

Ubuntu 21.10 (Impish Indri) policykit-1? < 0.105-31ubuntu0.1

Ubuntu 21.04 (Hirsute Hippo) policykit-1 Ignored (reached end-of-life)

Ubuntu 20.04 LTS (Focal Fossa) policykit-1? < 0.105-26ubuntu1.2

Ubuntu 18.04 LTS (Bionic Beaver) policykit-1? < 0.105-20ubuntu0.18.04.6

Ubuntu 16.04 ESM (Xenial Xerus) policykit-1? < 0.105-14.1ubuntu0.5+esm1

Ubuntu 14.04 ESM (Trusty Tahr) policykit-1? < 0.105-4ubuntu3.14.04.6+esm1

Debian系列：

Debain stretch policykit-1 < 0.105-18+deb9u2

Debain buster policykit-1 < 0.105-25+deb10u1

Debain bookworm, bullseye policykit-1 < 0.105-31.1

通用修復(fù)方案

根據(jù)影響版本中的信息，排查并升級(jí)到安全版本。

臨時(shí)修復(fù)方案

目前各Linux發(fā)行版官方均已給出安全補(bǔ)丁，建議用戶盡快升級(jí)至安全版本。

參考鏈接

CentOS、Ubuntu及Debian用戶可參考以下鏈接：

https://ubuntu.com/security/CVE-2021-4034

https://access.redhat.com/security/cve/CVE-2021-4034

https://security-tracker.debian.org/tracker/CVE-2021-4034