统信安全应急响应中心发布Polkit权限提升漏洞修复方案

发布于 2022-5-9 16:35
浏览
0收藏

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

2022年1月25日国外安全研究人员披露CVE-2021-4034 polkitpkexec本地提权漏洞漏洞细节,polkit pkexec中对命令行参数处理有误,导致参数注入,能够导致本地提权。

Polkit是用于在类Unix操作系统中控制系统范围特权的组件。它为非特权进程提供了与特权进程进行通信的有组织的方式。CVE-2021-4034polkit的 pkexec存在本地权限提升漏洞,已获得普通权限的攻击者可通过此漏洞获取root权限。

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

漏洞编号:CVE-2021-4034

软件包名:polkit
漏洞评级:高危
CVSS3.1评分:7.8

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

桌面操作系统:专业版1043及之前的版本

服务器操作系统:1040d、1020e、1021e、1002a、1020a、1021a

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

桌面专业版:通过apt policy policykit-1查看版本信息,policykit-1<0.105.10.7-1+dde受此漏洞影响,policykit-1>=0.105.10.7-1+dde此漏洞已修复。

 

服务器d版:通过apt policy policykit-1查看版本信息,policykit-1<0.105.10.7-1+dde受此漏洞影响,policykit-1>=0.105.10.7-1+dde此漏洞已修复。

 

服务器e版:通过rpm -q polkit查看版本信息,polkit<0.116-9.up1.uel20受此漏洞影响,polkit>=0.116-9.up1.uel20此漏洞已修复。

 

服务器a版:通过rpm -q polkit查看版本信息,polkit<0.115-13.uelc20.3受此漏洞影响,polkit>=0.115-13.uelc20.3此漏洞已修复。

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

桌面专业版:通过控制中心-更新-检查更新-安装更新进行升级-重启


服务器d版:通过sudo apt update && apt dist-upgrade更新修复

 

服务器e版:通过yum upgrade polkit 更新修复

 

服务器a版:通过yum upgrade polkit更新修复 

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

此漏洞已于2022-01-27日修复,2022-01-28更新至外网仓库源。

 

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

桌面专业版:查看policykit-1>=0.105.10.7-1+dde,说明此漏洞已修复。


服务器d版:查看policykit-1>=0.105.10.7-1+dde,说明此漏洞已修复。


服务器e版:查看polkit>=0.116-9.up1.uel20,说明此漏洞已修复。


服务器a版:查看polkit>=0.115-13.uelc20.3,说明此漏洞已修复。

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区

https://security-tracker.debian.org/tracker/CVE-2021-4034


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034


https://access.redhat.com/security/cve/CVE-2021-4034

 

统信安全应急响应中心发布Polkit权限提升漏洞修复方案-开源基础软件社区


统信安全应急响应中心(Uniontech Security Response Center)是统信软件旗下负责信息安全威胁评估、漏洞发现与处理以及系统安全体系构建的专门机构,肩负保护广大用户信息安全的使命。

 

目前,统信安全应急响应中心已经构建起从内核到应用、从芯片到软件、从主动防御到安全合作的操作系统安全生态体系。

 

欢迎广大用户向我们反馈统信产品和业务的安全漏洞,以帮助我们提升产品和业务的安全性。

已于2022-5-9 16:35:42修改
收藏
回复
举报
回复
添加资源
添加资源将有机会获得更多曝光,你也可以直接关联已上传资源 去关联
    相关推荐