CVE-2021-4034 polkit pkexec本地提权

漏洞公告

漏洞描述

2022年1月25日国外安全研究人员披露CVE-2021-4034 polkit pkexec本地提权漏洞漏洞细节，polkit pkexec中对命令行参数处理有误，导致参数注入，能够导致本地提权。

Polkit是用于在类Unix操作系统中控制系统范围特权的组件。它为非特权进程提供了与特权进程进行通信的有组织的方式。CVE-2021-4034polkit的 pkexec存在本地权限提升漏洞，已获得普通权限的攻击者可通过此漏洞获取root权限。

漏洞信息

受影响统信UOS版本

桌面操作系统： 专业版1043及之前的版本

服务器操作系统： 1040d、1020e、1021e、1002a、1020a、1021a

漏洞检测

桌面专业版： 通过apt policy policykit-1查看版本信息，policykit-1=0.105.10.7-1+dde此漏洞已修复。

服务器d版： 通过apt policy policykit-1查看版本信息，policykit-1=0.105.10.7-1+dde此漏洞已修复。

服务器e版： 通过rpm -q polkit查看版本信息，polkit=0.116-9.up1.uel20此漏洞已修复。

服务器a版： 通过rpm -q polkit查看版本信息，polkit=0.115-13.uelc20.3此漏洞已修复。

修复建议

桌面专业版： 通过控制中心-更新-检查更新-安装更新进行升级-重启

服务器d版： 通过sudo apt update && apt dist-upgrade更新修复

服务器e版： 通过yum upgrade polkit 更新修复

服务器a版： 通过yum upgrade polkit更新修复

修复状态

此漏洞已于2022-01-27日修复，2022-01-28更新至外网仓库源。

修复验证

桌面专业版： 查看policykit-1>=0.105.10.7-1+dde，说明此漏洞已修复。

服务器d版： 查看policykit-1>=0.105.10.7-1+dde，说明此漏洞已修复。

服务器e版： 查看polkit>=0.116-9.up1.uel20，说明此漏洞已修复。

服务器a版： 查看polkit>=0.115-13.uelc20.3，说明此漏洞已修复。

免责声明：本文来自腾讯新闻客户端创作者，不代表腾讯网的观点和立场。