近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Polkit 安全漏洞(CNNVD-202201-2343、CVE-2021-4034)情況的報(bào)送。成功利用此漏洞的攻擊者,可在默認(rèn)配置下提升本地用戶權(quán)限。Polkit所有版本均受此漏洞影響。目前,Polkit官方已發(fā)布新版本修復(fù)了漏洞,請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、漏洞介紹
Polkit是一個(gè)在類 Unix操作系統(tǒng)中控制系統(tǒng)范圍權(quán)限的組件,通過(guò)定義和審核權(quán)限規(guī)則,實(shí)現(xiàn)不同優(yōu)先級(jí)進(jìn)程間的通訊。Polkit存在于所有主流的Linux發(fā)行版的默認(rèn)配置中,攻擊者可通過(guò)修改環(huán)境變量來(lái)利用此漏洞,進(jìn)而提升本地用戶權(quán)限。
二、危害影響
成功利用此漏洞的攻擊者,可在默認(rèn)配置下提升本地用戶權(quán)限。Polkit所有版本均受此漏洞影響。polkit 0.92-0.115版本均受此漏洞影響。