当前位置:   article > 正文

关于 Linux Polkit 权限提升漏洞(CVE-2021-4034)的修复方法_poikit高危修复

poikit高危修复

近日,国外安全团队披露了 Polkit 中的 pkexec 组件存在的本地权限提升漏洞(CVE-2021-4034),Polkit 默认安装在各个主要的 Linux 发行版本上,易受该漏洞影响的 pkexec 组件无法正确处理调用参数,并会尝试将环境变量作为命令执行。攻击者可以通过修改环境变量,从而诱导 pkexec 执行任意代码,利用成功可导致非特权用户获得管理员权限。

影响范围

Debain stretch policykit-1 < 0.105-18+deb9u2

Debain buster policykit-1 < 0.105-25+deb10u1

Debain bookworm, bullseye policykit-1 < 0.105-31.1

Ubuntu 21.10 (Impish Indri) policykit-1 < 0.105-31ubuntu0.1

Ubuntu 21.04 (Hirsute Hippo) policykit-1 Ignored (reached end-of-life)

Ubuntu 20.04 LTS (Focal Fossa) policykit-1 < 0.105-26ubuntu1.2)

Ubuntu 18.04 LTS (Bionic Beaver) policykit-1 < 0.105-20ubuntu0.18.04.6)

Ubuntu 16.04 ESM (Xenial Xerus) policykit-1 < 0.105-14.1ubuntu0.5+esm1)

Ubuntu 14.04 ESM (Trusty Tahr) policykit-1 < 0.105-4ubuntu3.14.04.6+esm1)

CentOS 6 polkit < polkit-0.96-11.el6_10.2

CentOS 7 polkit < polkit-0.112-26.el7_9.1

CentOS 8.0 polkit < polkit-0.115-13.el8_5.1

CentOS 8.2 polkit < polkit-0.115-11.el8_2.2

CentOS 8.4 polkit < polkit-0.115-11.el8_4.2

修复建议 建议受影响用户参照官方安全通告升级到安全版本或更高版本

如何查看服务器上的polkit 版本

# rpm -qa |grep polkit

此处以阿里云centos为例进行修复。

  1. # yum update polkit
  2. # 升级后重新查看版本

CentOS 7 polkit = polkit-0.112-26.el7_9.1

修复完成

参考链接

https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

CVE-2021-4034 | Ubuntu

Red Hat Customer Portal - Access to 24x7 support and knowledge

CVE-2021-4034

文章链接地址:https://blog.linuxrgw.com/?p=78&preview=true

其他内容分享:内容推荐

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小桥流水78/article/detail/1000146
推荐阅读
相关标签
  

闽ICP备14008679号