Linux Polkit漏洞详解与安全权限提升策略 |
您所在的位置:网站首页 › 云服务器漏洞需要修复吗 › Linux Polkit漏洞详解与安全权限提升策略 |
漏洞信息 漏洞编号:CVE-2021-4034 漏洞评级:高 影响范围:所有主流Linux发行版本均受影响 详细描述本次漏洞具体是指存在于Polkit的pkexec程序中的内存损坏漏洞。这是一个安装在所有主要Linux发行版上的SUID-root程序,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。由于当前版本的pkexec程序对命令行参数处理有误,攻击者可以通过控制环境变量诱导pkexec程序执行任意代码。成功利用该漏洞后,可导致非特权用户获得管理员权限。 修复建议阿里云的Anolis OS以及Alibaba Cloud Linux操作系统内的Polkit版本已修复至安全版本。具体版本信息如下: Anolis OS 7:polkit-0.112-26.an7.1 Anolis OS 8:polkit-0.115-13.an8_5.1 Alibaba Cloud Linux 2:polkit-0.112-26.3.al7.1 Alibaba Cloud Linux 3:polkit-0.115-13.al8.1 其他各Linux发行版官方均已提供安全补丁,建议您尽快升级Polkit至安全版本。Ubuntu、Red Hat、CentOS及Debian官方漏洞公告,请参见: Ubuntu漏洞修复帮助文档 Red Hat(含CentOS)漏洞修复帮助文档 Debian漏洞修复帮助文档 部分操作系统升级命令说明如下: 如果您的操作系统为CentOS,可采用以下命令升级Polkit至安全版本。 yum clean all && yum makecache && yum update polkit -y成功升级后,您可以运行以下命令查看Polkit的版本信息,检查是否为安全版本。 rpm -qa polkit如果您的操作系统为Ubuntu,可采用以下命令升级Polkit至安全版本。 sudo apt-get update && sudo apt-get install policykit-1成功升级后,您可以运行以下命令查看Polkit的版本信息,检查是否为安全版本。 dpkg -l policykit-1相关链接pwnkit: Local Privilege Escalation in polkit's pkexec (CVE-2021-4034) pkexec: local privilege escalation (CVE-2021-4034) pwnkit: Local Privilege Escalation in polkit's pkexec (CVE-2021-4034) 公告方阿里云计算有限公司 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |