neprihlásený Sobota, 26. novembra 2022, dnes má meniny Kornel
V Linuxe sa dlho nachádzala zraniteľnosť umožňujúca získať roota

Značky: Linuxbezpečnosť

DSL.sk, 26.1.2022


V komponente polkit používanom v mnohých linuxových distribúciách sa dlhodobo nachádzala zraniteľnosť, ktorá umožňuje neprivilegovanému užívateľovi získať administrátorské root oprávnenia.

Zraniteľnosť identifikovala bezpečnostná spoločnosť Qualys, ktorá o nej informuje v tomto oznámení.

Polkit, v minulosti označovaný PolicyKit, je komponentom pre kontrolu systémových oprávnení v unixových systémoch, ktorý umožňuje procesom bez administrátorských oprávnení komunikovať s procesmi s oprávneniami.

Zraniteľnosť s označením CVE-2021-4034 sa nachádza v príkaze pkexec pre spúšťanie príkazov s administrátorskými oprávneniami podobne ako sudo. Zraniteľnosť umožňuje útočníkovi bez oprávnení v pamäti prepísať a nastaviť potenciálne nebezpečné premenné prostredia pre pkexec, ktoré môžu umožniť spustiť s administrátorskými oprávneniami útočníkom zvolený kód.

Spoločnosť vytvorila spoľahlivý exploit zraniteľnosti, ktorý úspešne otestovala v štandardných inštaláciách viacerých populárnych linuxových distribúcií, Ubuntu, Debian, Fedora a CentOS. Zraniteľné sú podľa oznámenia pravdepodobne aj ďalšie distribúcie.

Zraniteľnosť je prítomná v pkexec od jeho pridania do PolicyKit v máji 2009.

Riešením je nainštalovanie aktualizovanej verzie, ktorá bola viacerými distribúciami vydaná spolu s oznámením zraniteľnosti v utorok.


      Zdieľaj na Twitteri



Najnovšie články:

Loď Orion úspešne vstúpila na orbitu Mesiaca
Arm bude uvedená na burzu neskôr
V Česku pribudlo ďalších osem vysielačov digitálneho rádia
Loď Orion dnes vstúpi na orbitu Mesiaca
Aplikácia pre lístky na vlak nebola viacero dní v obchode, po zvláštnom vyradení Googlom
Telekom zvýšil pokrytie 5G najmä na východe, úroveň pokrytia neuvádza - aktualizácia 1
V Británii spustená 196 MWh batéria
Helikoptéra na Marse dostala aktualizáciu softvéru, uskutočnila veľmi krátky let
NASA stratila komunikáciu s loďou Orion
Tatra banka necháva klientov potvrdiť platby novými kartami, potom ich odmietne


Diskusia:
                               
 

defund the policykit! ... oh wait
Odpovedať Známka: 6.4 Hodnotiť:
 

Presne tak. Pri bezpečnostnej politike systému, kde sa root nemôže lognúť na desktop, nejde o zraniteľnosť, ale priekazne kohéznu vlastnosť.
Odpovedať Známka: -1.1 Hodnotiť:
 

takych je tam este milion, len sa zatial o nich nevie
Odpovedať Známka: 3.3 Hodnotiť:
 

Nepreháňaj! Sú tam ešte dve!!!
Odpovedať Známka: 3.3 Hodnotiť:
 

To tu bolo reci aky je linux bezpecny, ze ma otvoreny kod …
Nejak sa tu tieto argumenty vytratili, co sa deje , neviete ?
Odpovedať Známka: 0.0 Hodnotiť:
 

Nic sa nedeje. Nevytratili sa. Linux je stale bezpečný a stále má otvorený kód.
Odpovedať Známka: 6.7 Hodnotiť:
 

Akurát tu každý týždeň článok o zraniteľnosti v linuxe , to keby mal podiel ako MS to by sme videli :)
Odpovedať Známka: -3.3 Hodnotiť:
 

A preto mám namiesto Linuxu... FreeBSD.
Odpovedať Známka: -5.6 Hodnotiť:
 

Nemáš.
Odpovedať Známka: 10.0 Hodnotiť:
 

to este niekto pouziva tu hipsteracku zlataninu menom lunex? najlepsi os je predsa mac hned po windows.
Odpovedať Známka: -7.8 Hodnotiť:
 

Kde si nechal AmigaOS, píčo?
Odpovedať Známka: 6.7 Hodnotiť:
 

Vzhladom k tomu, ze sa tvoja matka aktivne zucastnovala sexualnych orgii => implementacia semena do jej maternice z mnohych nezavislych zdrojov => z polovice vasej osady....si tu zlataninou jedine ty.
Ci si aj hipster to neviem, ale urcite si pohlavny ud.
Odpovedať Známka: -3.0 Hodnotiť:
 

Hej dokonca aj tí hipsteri z NASA. "Najlepší os je..." Hej a najlepšie náradie je kladivo😂
Odpovedať Hodnotiť:
 

O 500 000EUR, ze sa tam nachadza dalsich 100 takychto zranitelnosti.
Odpovedať Známka: 0.0 Hodnotiť:
 

O milion dolacov ze vo winblowse 2x tolko. Ale to nezavisli nemaju sancu vediet, kedze closed-source
Odpovedať Známka: 5.4 Hodnotiť:
 

Niekedy je ich jednoduchšie nájsť v hexa binárkach ako v prepoznámkovanom zmätku s pre v budúcnosti priekazne plánovanými predpripravenými odbočkami.
Odpovedať Známka: 2.0 Hodnotiť:
 

o miliardu ze v šitnuxe ich je 3x tolko
Odpovedať Známka: -10.0 Hodnotiť:
 

Tak linux je deravy ako emental. V dnesnej dobe iba windows, kde je vsetko uz vychytane k dokonalosti.
Odpovedať Známka: -2.9 Hodnotiť:
 

Dáva to zmysel. Linux open source - Windows closed source
Odpovedať Známka: 0.0 Hodnotiť:
 

zaujímave ponaučenie si si z toho zobral.
Odpovedať Známka: 6.0 Hodnotiť:
 

Každému podľa gusta. Masochistom windows.
Odpovedať Známka: 6.4 Hodnotiť:

Pridať komentár