近日(ri)，國家信息(xi)安全漏洞庫（CNNVD）收(shou)到(dao)關(guan)于Polkit 安全漏洞（CNNVD-202201-2343、CVE-2021-4034）情(qing)況的報送。成(cheng)功(gong)利用(yong)此(ci)漏洞的攻擊者，可在默認配(pei)置下(xia)提升本地(di)用(yong)戶權限。Polkit所有版(ban)本均受(shou)(shou)此(ci)漏洞影(ying)響。目前，Polkit官方已發布(bu)新版(ban)本修(xiu)復了漏洞，請用(yong)戶及時確認是否受(shou)(shou)到(dao)漏洞影(ying)響，盡快(kuai)采取(qu)修(xiu)補(bu)措施。

一、漏洞介紹

Polkit是一(yi)個在(zai)類 Unix操(cao)作系(xi)統(tong)(tong)中控制系(xi)統(tong)(tong)范(fan)圍權限(xian)(xian)的(de)組件，通(tong)過定義和(he)審核權限(xian)(xian)規則，實現不同優先級進(jin)程(cheng)間的(de)通(tong)訊。Polkit存在(zai)于所有主流的(de)Linux發行版(ban)的(de)默認配置中，攻擊者可通(tong)過修改環境變量來利用此漏洞，進(jin)而(er)提升本地用戶權限(xian)(xian)。

二、危害影響

成(cheng)功(gong)利用(yong)此(ci)漏(lou)洞(dong)的攻(gong)擊(ji)者，可在默認配置下提升本地(di)用(yong)戶權限。Polkit所有版(ban)本均受此(ci)漏(lou)洞(dong)影響。polkit 0.92-0.115版(ban)本均受此(ci)漏(lou)洞(dong)影響。