鏡像下載、域名解析、時間同步請點擊

阿里巴巴開源鏡像站-OPSX鏡像站-阿里云開發者社區

近日，國外安全團隊披露了 Polkit 中的 pkexec 組件存在的本地權限提升漏洞（CVE-2021-4034），Polkit 默認安裝在各個主要的 linux 發行版本上，易受該漏洞影響的 pkexec 組件無法正確處理調用參數，并會嘗試將環境變量作為命令執行。攻擊者可以通過修改環境變量，從而誘導 pkexec 執行任意代碼，利用成功可導致非特權用戶獲得管理員權限。

影響范圍

Debain stretch policykit-1 < 0.105-18+deb9u2

Debain buster policykit-1 < 0.105-25+deb10u1

Debain bookworm, bullseye policykit-1 < 0.105-31.1

Ubuntu 21.10 (Impish Indri) policykit-1 < 0.105-31ubuntu0.1

Ubuntu 21.04 (Hirsute Hippo) policykit-1 Ignored (reached end-of-life)

Ubuntu 20.04 LTS (Focal Fossa) policykit-1 < 0.105-26ubuntu1.2)

Ubuntu 18.04 LTS (Bionic Beaver) policykit-1 < 0.105-20ubuntu0.18.04.6)

Ubuntu 16.04 ESM (Xenial Xerus) policykit-1 < 0.105-14.1ubuntu0.5+esm1)

Ubuntu 14.04 ESM (Trusty Tahr) policykit-1 < 0.105-4ubuntu3.14.04.6+esm1)

centos 6 polkit < polkit-0.96-11.el6_10.2

CentOS 7 polkit < polkit-0.112-26.el7_9.1

CentOS 8.0 polkit < polkit-0.115-13.el8_5.1

CentOS 8.2 polkit < polkit-0.115-11.el8_2.2

CentOS 8.4 polkit < polkit-0.115-11.el8_4.2

修復建議

建議受影響用戶參照官方安全通告升級到安全版本或更高版本

如何查看服務器上的polkit 版本

# rpm -qa |grep polkit

此處以阿里云centos為例進行修復。

# yum update polkit
# 升級后重新查看版本

CentOS 7 polkit = polkit-0.112-26.el7_9.1

修復完成

本文轉自：
https://blog.csdn.net/Ren_gw/article/details/122717350