Linux 爆發(fā) pkexec 提權(quán)漏洞，麒麟軟件發(fā)布修復(fù)方案

IT之家 1 月 30 日消息，近日，Linux Polkit 中 pkexec 權(quán)限提升漏洞爆發(fā)，麒麟軟件迅速開展漏洞修復(fù)，已在麒麟軟件官網(wǎng)發(fā)布了針對此漏洞的安全公告，為用戶提供緊急修復(fù)方案。

pkexec 應(yīng)用程序是一個 setuid 工具，旨在允許非特權(quán)用戶根據(jù)預(yù)定義的策略以特權(quán)用戶身份運行命令。當(dāng)前版本的 pkexec 沒有正確處理調(diào)用參數(shù)的個數(shù)，并最終試圖將環(huán)境變量作為命令執(zhí)行，從而誘導(dǎo) pkexec 執(zhí)行任意代碼。

此外，此漏洞的觸發(fā)途徑是本地觸發(fā)，在網(wǎng)絡(luò)環(huán)境、物理環(huán)境安全的前提下，漏洞的觸發(fā)較為困難，影響較為有限，此漏洞評分最終定為 7.8 分。

此漏洞爆發(fā)后，麒麟軟件 PSIRT 團隊根據(jù)漏洞情報信息，組織安全專家進行產(chǎn)品自查，啟動緊急修復(fù)響應(yīng)，通過多輪自動化掃描以及專家組仔細排查，已從麒麟軟件全平臺產(chǎn)品各版本中發(fā)現(xiàn)影響組件包共計 6 個，并完成全部修復(fù)，同時在麒麟軟件官網(wǎng)發(fā)布了針對此漏洞的安全公告，推送了相應(yīng)的安全更新補丁、加固策略以及防護手段，建議受影響用戶前往麒麟官網(wǎng)（www.kylinos.cn）—— 服務(wù)支持 —— 安全漏洞欄目，查詢“polkit 漏洞”或“policykit-1 安全漏洞”，即可獲得相關(guān)文檔和下載與您使用的操作系統(tǒng)版本相對應(yīng)的補丁包。

剛剛過去的 2021 年 12 月，開源軟件 Log4j2 爆發(fā)高危漏洞，麒麟軟件同樣基于集自身多渠道發(fā)現(xiàn)漏洞、專職應(yīng)急漏洞響應(yīng)組快速修復(fù)漏洞、及時發(fā)布補丁、提供專業(yè)修復(fù)方案等于一體的網(wǎng)絡(luò)安全漏洞管理體系，進行了漏洞修復(fù)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。