CVE-2021-4034 PolKit-sårbarhed
CVE-2021-4034 er en ny sårbarhed opdaget i PolKit, en komponent til styring af systemdækkende rettigheder i Unix-lignende operativsystemer.
Sårbarheden blev opdaget i Polkits pkexec, et SUID-rodprogram installeret som standard på alle større Linux-distributioner. Opdagelsen tilhører Qualys-forskere.
Med hensyn til dens potentielle virkning, sårbarheden kan give uprivilegerede brugere mulighed for at opnå root-rettigheder på det udsatte system. Problemet er blevet verificeret uafhængigt, og en udnyttelse er også blevet udviklet. Følgende Linux-distributioner er berørt:
- Ubuntu
- Debian
- Fedora
- CentOS
Men, ifølge Qualys, "andre Linux-distributioner er sandsynligvis sårbare og sandsynligvis udnyttelige". Det, der er svimlende i denne sag er, at CVE-2021-4034 har "gemt sig i almindeligt syn for 12+ år,” påvirker alle versioner af pkexec siden dens første version blev udgivet i maj 2009.
Flere tekniske detaljer findes i den officielle Security Advisory.
I juni 2021, endnu en år gammel PolKit-sårbarhed blev opdaget. Identificeret som CVE-2021-3560, fejlen så ud til at have eksisteret i mindst syv år.