前言

近日Linux操作系统被爆出Polkit组件中pkexec程序存在权限提升漏洞(漏洞编号为CVE-2021-4034)。鉴于该漏洞影响范围大,潜在危害程度高,请各研发团队尽快根据Linux发行版官方提供的安全补丁,对开发、测试环境以及项目上的生产环境进行升级,运维环境由客户负责的还请通知客户安装补丁。

漏洞详情如下:

l 【漏洞描述】

pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码。利用成功后,可导致非特权用户获得管理员权限。

l 【漏洞评级】

中危

l 【受影响版本】

由于为系统预装工具,目前主流Linux版本均受影响

CentOS 6

CentOS 7

CentOS 8.0

CentOS 8.2

CentOS 8.4

Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2

Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6

Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1

Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1

官方回应

已修复代码,还未发布版本[1]

临时解决方案

chmod 0755 /usr/bin/pkexec

References

[1] 已修复代码,还未发布版本: https://gitlab.freedesktop.org/polkit/polkit/-/merge_requests/104

Linux组件被爆漏洞,程序员:过年修复漏洞相关推荐

  1. 【Linux 中国】最适合程序员的 10 款 Linux 发行版

    最适合程序员的 10 款 Linux 发行版 我们为程序员和开发人员总结了 2022 年最好用的 10 款 Linux 发行版,以便他们开展日常工作和个人项目. 由于工作和项目需要,程序员和开发人员会 ...

  2. 程序员过年最怕问到什么?

    每逢佳节被相亲,有人欢喜有人愁. 年关将至,游子回乡是常事也是喜事.可是对于大多数程序员来说,每到春节就迎来被催婚高峰期,"要见的姑娘比亲戚还多." 近日,发布了一组程序员过年大数 ...

  3. 《UNIX/Linux的传奇历史》--程序员价值观(送给年轻程序员)

    了解过去,我们才能知其然,更知所以然.总结过去,我们才会知道我们明天该如何去规划,该如何去走.在时间的滚轮中,许许多的东西就像流星一样一闪而逝,而 有些东西却能经受着时间的考验散发着经久的魅力,让人津 ...

  4. 程序员过年被亲戚鄙视:月薪1万5很一般,在大城市很难养活自己吧?

    过年走亲访友本是一件值得高兴的事,然而一名程序员却讲述了自己被鄙视的经历.其自称月薪2万,但为了照顾大家感受,故意说月入1万5左右,结果反而本亲戚鄙视了一番,称这点工资很难在大城市里养活自己. 遇到这 ...

  5. Linux常用命令大全-toolfk程序员在线工具网

    本文要推荐的[ToolFk]是一款程序员经常使用的线上免费测试工具箱,ToolFk 特色是专注于程序员日常的开发工具,不用安装任何软件,只要把内容贴上按一个执行按钮,就能获取到想要的内容结果.Tool ...

  6. linux php 守护进程,PHP程序员玩转Linux系列 使用supervisor实现守护进程

    PHP程序员玩转Linux系列文章: 首先遇到的问题是,部署nodejs的博客程序时,我把执行nodejs的命令放到后台,使用加&和nohup命令 如:nodejs index.js & ...

  7. Linux笔记本电脑大调查:程序员最喜欢的电脑是什么配置?

    程序员对Linux笔记本有什么期望?最近进行的Linux笔记本电脑调查,揭示了在购买Linux笔记本电脑时,程序员考虑的各种因素,如价格.兼容性问题.GPU,笔记本电脑品牌等.这表明有些人如果得到适当 ...

  8. 11 岁编程,21 岁开发 Linux 系统,这就是顶尖程序员的样子!

    Linux 操作系统对做开发的人来说,已经再熟悉不过了.它具备免费.可靠.安全.稳定.多平台等优势,早在 1991 年公布以来,就得到迅猛的发展.以至于现在我们用到的几乎所有的智能设备都有它的应用.比 ...

  9. 程序员过年被亲戚鄙视:月薪15k 很一般吧?

    过年走亲访友本是一件值得高兴的事,然而一名程序员却讲述了自己被鄙视的经历. 其自称月薪2万,但为了照顾大家感受,故意说月入1万5左右,结果反而本亲戚鄙视了一番,称这点工资很难在大城市里养活自己. 遇到 ...

最新文章

  1. Plugin with id 'com.novoda.bintray-release' not found的解决方法
  2. Linux下无法进入windows的NTFS分区并挂载错误的问题的解决方法
  3. SAP ABAP, Fiori, Android和Hybris里的异步操作
  4. JavaScript 浏览器对象BOM
  5. 两图说明 java 开发工具中启动类参数都是干嘛的
  6. 【JVM】JVM 调优之 -XX 参数
  7. 【Visual Studio Code 】使用Visual Studio Code + Node.js搭建TypeScript开发环境
  8. 团队开发——冲刺1.e
  9. 图解tcpip读书笔记
  10. python极简讲义 pdf_Python极简讲义:一本书入门数据分析与机器学习
  11. 2012年--麦思博--12月7-9日全球软件案例研究峰会讲师ppt
  12. Django面试题——CSRF和CORS的区别
  13. 求多项式的值之polyval 和polyvalm
  14. Java计算两点间的距离
  15. 康奈尔笔记记录法[转
  16. Reactjs鼠标滚轮监听
  17. class SequenceFileOutputFormat takes type parameters
  18. ”微信小程序“一场风暴还是过江之鲫
  19. CornerStone —— 医学影像显示的JavaScript库简介
  20. 前端面试题-小米二面

热门文章

  1. 白盒测试哪种测试效果好_软件测试白盒测试时需要考虑哪些问题?
  2. 抖抖富-抖音云控怎么样?
  3. [LeetCode]1037. 有效的回旋镖
  4. 论文阅读:GCRN:Learning Complex Spectral Mapping With GatedConvolutional Recurrent Networks forMonaural
  5. Flink教程(30)- Flink VS Spark
  6. c语言谷歌坐标转百度坐标,关于GPS定位经纬度到谷歌(google)坐标以及百度(百度)坐标的转换c#源码...
  7. tableau高级图形的应用及可视化实现方法
  8. vsCode 快捷键PDF
  9. android无法加载系统so,android - android资源无法加载 - SO中文参考 - www.soinside.com
  10. 广角广告多媒体发布系统