Alerta de Vulnerabilidades - Pkexec (PwnKit)
Foi identificada uma vulnerabilidade de Elevação de Privilégios/Corrupção de Memória (CVE-2021-4034) no pkexec do componente Polkit, que pode ser encontrado em praticamente todas as distribuições Linux e outras baseadas em Unix.
Importante referir que o pkexec está vulnerável desde a sua criação e, portanto, todas as versões carecem de atualização.
A Qualys disponibiliza um conjunto de detalhes técnicos que podem ser consultados em [1] e [2].
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante local acesso a privilégios root. Esta vulnerabilidade não pode ser explorada remotamente.
Recomenda-se a aplicação das atualizações.
[1] https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
[2] https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
[3] https://www.securityweek.com/polkit-vulnerability-provides-root-privileges-linux-systems