有个超级大洞出来了快去修复把

君柯

漏洞名称       
Linux polkit本地权限提升漏洞（CVE-2021-4034）
漏洞标签       
存在EXP
漏洞类型       
Linux软件漏洞
威胁等级        高危
CVE编号       
CVE-2021-4034
披露时间       
2022-01-26 00:00:00
漏洞描述       
近日，国外安全团队发布安全公告称，在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。pkexec 应用程序是一个 setuid 工具，旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。
由于当前版本的 pkexec 无**确处理调用参数计数，并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量，从而诱导 pkexec 执行任意代码。利用成功后，可导致非特权用户获得管理员权限。
修复方案
修复方案       
1、无法升级软件修复包的，可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险：
       chmod 0755 /usr/bin/pkexec
2、CentOS 7的用户可通过yum update polkit升级修复，Centos 5、6、8官方已终止生命周期 (EOL)维护，建议停止使用；
3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复；
4、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过sudo apt-get install policykit-1升级修复，Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护，修复需要额外付费购买Ubuntu ESM（扩展安全维护）服务，建议停止使用。
检测到服务器存在漏洞风险，建议立即对相关主机进行快照备份，避免遭受损失。

参考链接       
http://**nvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202201-2343

那都通

这漏洞出来都快半年了，大厂早就第一时间修复了，剩下都是一些小厂或者没人管的。

HOH

debian不自带polkit 所以没有问题

鸡不择食

Debian?

君柯

鸡不择食 发表于 2022-6-7 19:54
Debian?

不知道，我是被日后，上去看了才知道有洞出来了

会呼吸的痛

Debian我刚用Ubuntu的命令，也可以安装上去
就是不知道有没有作用了

hardwar

一看有洞火急火燎的去升级 对着SSH面壁半天 再一看这不是一月的事情吗

https://access.redhat.com/security/vulnerabilities/RHSB-2022-001
客户面临的主要风险是非特权用户可能获得受影响系统的管理特权。攻击者必须具有对目标系统的登录权限才能执行攻击。

安全版本：
centos6: polkit-0.96-11.e16_10.2
centos7: polkit-0.112-26.el7_9.1
centos8: polkit-0.115-13.el8_5.1
centos8.2: polkit-0.115-11.el8_2.2
centos8.4: polkit-0.115-11.el8_4.2

louiejordan

甲骨文的好像不需要

礼貌的绅士

好家伙, 马上将我几个ubuntu20升级一下