Ir para conteúdo

Alerta de Vulnerabilidades - Pkexec (PwnKit)

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Todas as versões pkexec
ECOSSISTEMA
Linux
Descrição

Foi identificada uma vulnerabilidade de Elevação de Privilégios/Corrupção de Memória (CVE-2021-4034) no pkexec do componente Polkit, que pode ser encontrado em praticamente todas as distribuições Linux e outras baseadas em Unix.
Importante referir que o pkexec está vulnerável desde a sua criação e, portanto, todas as versões carecem de atualização.
A Qualys disponibiliza um conjunto de detalhes técnicos que podem ser consultados em [1] e [2].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante local acesso a privilégios root. Esta vulnerabilidade não pode ser explorada remotamente.

 

Resolução

Recomenda-se a aplicação das atualizações.

 

Referências

[1] https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

[2] https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

[3] https://www.securityweek.com/polkit-vulnerability-provides-root-privileges-linux-systems 

Última atualização em 13-12-2020