Linux 爆發(fā) pkexec 提權(quán)漏洞，麒麟軟件發(fā)布修復(fù)方案

IT之家 1 月 30 日消息，近日，Linux Polkit 中 pkexec 權(quán)限提升漏洞爆發(fā)，麒麟軟件迅速開(kāi)展漏洞修復(fù)，已在麒麟軟件官網(wǎng)發(fā)布了針對(duì)此漏洞的安全公告，為用戶提供緊急修復(fù)方案。

pkexec 應(yīng)用程序是一個(gè) setuid 工具，旨在允許非特權(quán)用戶根據(jù)預(yù)定義的策略以特權(quán)用戶身份運(yùn)行命令。當(dāng)前版本的 pkexec 沒(méi)有正確處理調(diào)用參數(shù)的個(gè)數(shù)，并最終試圖將環(huán)境變量作為命令執(zhí)行，從而誘導(dǎo) pkexec 執(zhí)行任意代碼。

此外，此漏洞的觸發(fā)途徑是本地觸發(fā)，在網(wǎng)絡(luò)環(huán)境、物理環(huán)境安全的前提下，漏洞的觸發(fā)較為困難，影響較為有限，此漏洞評(píng)分最終定為 7.8 分。

此漏洞爆發(fā)后，麒麟軟件 PSIRT 團(tuán)隊(duì)根據(jù)漏洞情報(bào)信息，組織安全專(zhuān)家進(jìn)行產(chǎn)品自查，啟動(dòng)緊急修復(fù)響應(yīng)，通過(guò)多輪自動(dòng)化掃描以及專(zhuān)家組仔細(xì)排查，已從麒麟軟件全平臺(tái)產(chǎn)品各版本中發(fā)現(xiàn)影響組件包共計(jì) 6 個(gè)，并完成全部修復(fù)，同時(shí)在麒麟軟件官網(wǎng)發(fā)布了針對(duì)此漏洞的安全公告，推送了相應(yīng)的安全更新補(bǔ)丁、加固策略以及防護(hù)手段，建議受影響用戶前往麒麟官網(wǎng)（www.kylinos.cn）—— 服務(wù)支持 —— 安全漏洞欄目，查詢“polkit 漏洞”或“policykit-1 安全漏洞”，即可獲得相關(guān)文檔和下載與您使用的操作系統(tǒng)版本相對(duì)應(yīng)的補(bǔ)丁包。

剛剛過(guò)去的 2021 年 12 月，開(kāi)源軟件 Log4j2 爆發(fā)高危漏洞，麒麟軟件同樣基于集自身多渠道發(fā)現(xiàn)漏洞、專(zhuān)職應(yīng)急漏洞響應(yīng)組快速修復(fù)漏洞、及時(shí)發(fā)布補(bǔ)丁、提供專(zhuān)業(yè)修復(fù)方案等于一體的網(wǎng)絡(luò)安全漏洞管理體系，進(jìn)行了漏洞修復(fù)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。