| 漏洞名称 Linux polkit本地权限提升漏洞(CVE-2021-4034) 漏洞标签 存在EXP 漏洞类型 Linux软件漏洞 威胁等级 高危 CVE编号 CVE-2021-4034 披露时间 2022-01-26 00:00:00 漏洞描述 近日,国外安全团队发布安全公告称,在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。 由于当前版本的 pkexec 无**确处理调用参数计数,并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码。利用成功后,可导致非特权用户获得管理员权限。 修复方案 修复方案 1、无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险: chmod 0755 /usr/bin/pkexec 2、CentOS 7的用户可通过yum update polkit升级修复,Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用; 3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复; 4、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过sudo apt-get install policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用。 检测到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。 参考链接 |
| debian不自带polkit 所以没有问题 |
Debian? |
| debian呢 |
|
| Debian我刚用Ubuntu的命令,也可以安装上去 就是不知道有没有作用了 |
| 本帖最后由 hardwar 于 2022-6-7 20:15 编辑
https://access.redhat.com/security/vulnerabilities/RHSB-2022-001 安全版本: |
| 甲骨文的好像不需要 |
| 好家伙, 马上将我几个ubuntu20升级一下 |