Sikkerhedsforskere opdagede for nylig en sårbarhed i Linux-systemets polkit. Identificeret som CVE-2021-3560, fejlen ser ud til at have eksisteret i mindst syv år. Da polkit bruges i mange Linux-distributioner, virkningen af sårbarheden bør ikke undervurderes.
Heldigvis, CVE-2021-3560 er nu opdateret.
Relaterede: CVE-2020-28588: Sårbarhed i forbindelse med offentliggørelse af oplysninger i Linux-kerne
polkit Flaw har eksisteret i syv år
Desværre, da systemd bruger polkit i stedet for sudo, sårbarheden kunne have givet uautoriserede brugere muligheden for at køre privilegerede processer. Sådanne privilegerede processer kunne ikke køres på nogen anden måde. Med andre ord, polkit kunne have været misbrugt for at få rootadgang til det sårbare Linux-system.
Ifølge den officielle Red Hat-rådgivning, polkit-sårbarheden sker på grund af følgende tilstand:
Når en anmodningsproces afbrydes fra dbus-dæmon lige før opkaldet til polkit_system_bus_name_get_creds_sync starter, processen kan ikke få en unik uid og pid af processen, og den kan ikke verificere rettighederne til den anmodende proces. Den største trussel fra denne sårbarhed er datafortrolighed og integritet samt systemtilgængelighed.
Er der nogen form for afhjælpning af polkit-fejlen?? Red Hat forskere siger, at de har undersøgt, om der findes en afbødning, men de var ikke i stand til at identificere et praktisk eksempel. Dette betyder, at den tilgængelige opdatering skal anvendes straks.
CVE-2021-3560 polkit Bug Baggrund
CVE-2021-3560 sårbarheden blev opdaget af sikkerhedsforsker Kevin Blackhouse. "Et par uger siden, Jeg fandt en sårbarhed ved optrapning af privilegier i polkit. Jeg koordinerede afsløringen af sårbarheden med polkit-vedligeholdere og med Red Hats sikkerhedsteam. Det blev offentliggjort, fixen blev frigivet i juni 3, 2021, og det blev tildelt CVE-2021-3560, ”skrev han i en artikel, der beskriver hans opdagelse. Han advarer også om, at sårbarheden er let at udnytte.
Den fejl, Blackhouse opdagede, blev introduceret for syv år siden i commit bfa5036, og først leveret med polkit-version 0.113. Den gode nyhed er, at mange af de mest populære Linux-distroer ikke sendte den sårbare version før for nylig, han siger.
Men, virkningen af polkit-bug er meget mere forskellig for Debian og dets derivater, ligesom Ubuntu. Grunden? Debian bruger en gaffel polkit med en anden version nummereringsplan.
”I Debian-gaffelen, bug blev introduceret i commit f81d021 og først leveret med version 0.105-26. Den seneste stabile udgivelse af Debian, Debian 10 (“Buster”), bruger version 0.105-25, hvilket betyder, at det ikke er sårbart. Men, nogle Debian-derivater, såsom Ubuntu, er baseret på Debian ustabil, som er sårbar,”Siger forskeren.
Her er en liste over sårbare versioner, ifølge Blackhouse:
- RHEL 8;
- Fedora 21 eller senere;
- Debian tester "bullseye" ';
- Ubuntu 20.04.
Polkit-bugten er "overraskende let at udnytte." Udnyttelse kræver et par kommandoer i terminalen ved kun at bruge standardværktøjer såsom bash, dræbe, og dbus-send. Kort sagt, ethvert system med polkit-version 0.113 (eller senere) installeret er sårbar. Ifølge Red Hat, “Den største trussel fra denne sårbarhed er datafortrolighed og integritet samt systemtilgængelighed.” Så, plaster så hurtigt som muligt.
Flere tekniske detaljer findes i Kevin Blackhouse's GitHub-blog.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: