Des chercheurs en sécurité ont récemment découvert une vulnérabilité dans le polkit de Linux systemd. Identifié comme CVE-2021-3560, le défaut semble exister depuis au moins sept ans. Étant donné que polkit est utilisé dans de nombreuses distributions Linux, l'impact de la vulnérabilité ne doit pas être sous-estimé.
Heureusement, CVE-2021-3560 a maintenant été corrigé.
en relation: CVE-2020-28588: Vulnérabilité de divulgation d'informations dans le noyau Linux
Polkit Flaw existe depuis sept ans
Malheureusement, puisque systemd utilise polkit au lieu de sudo, la vulnérabilité aurait pu donner aux utilisateurs non autorisés la possibilité d'exécuter des processus privilégiés. De tels processus privilégiés ne pourraient pas être exécutés d'une autre manière. En d'autres termes, polkit aurait pu être abusé pour obtenir un accès root au système Linux vulnérable.
Selon l'avis officiel de Red Hat, la vulnérabilité polkit se produit à cause de la condition suivante:
Lorsqu'un processus demandeur se déconnecte de dbus-daemon juste avant le démarrage de l'appel à polkit_system_bus_name_get_creds_sync, le processus ne peut pas obtenir un uid et un pid uniques du processus et il ne peut pas vérifier les privilèges du processus demandeur. La plus grande menace de cette vulnérabilité concerne la confidentialité et l'intégrité des données ainsi que la disponibilité du système..
Y a-t-il une atténuation contre la faille polkit? Les chercheurs de Red Hat disent avoir étudié l'existence d'une atténuation, mais ils n'ont pas été en mesure d'identifier un exemple pratique. Cela signifie que la mise à jour disponible doit être appliquée immédiatement.
CVE-2021-3560 Contexte du bogue polkit
La vulnérabilité CVE-2021-3560 a été découverte par le chercheur en sécurité Kevin Blackhouse. "Il y a quelques semaines, J'ai trouvé une vulnérabilité d'escalade de privilèges dans polkit. J'ai coordonné la divulgation de la vulnérabilité avec les mainteneurs de polkit et avec l'équipe de sécurité de Red Hat. Il a été rendu public, le correctif a été publié en juin 3, 2021, et il a été attribué CVE-2021-3560 », a-t-il écrit dans un article détaillant sa découverte. Il prévient également que la vulnérabilité est facile à exploiter.
Le bug découvert par Blackhouse a été introduit il y a sept ans dans le commit bfa5036, et d'abord livré avec la version polkit 0.113. La bonne nouvelle est que bon nombre des distributions Linux les plus populaires n'ont livré la version vulnérable que plus récemment., il dit.
Cependant, l'impact du bogue polkit est bien plus différent pour Debian et ses dérivés, comme Ubuntu. La raison? Debian utilise un fork de polkit avec un schéma de numérotation de version différent.
« Dans la fourche Debian, le bogue a été introduit dans le commit f81d021 et livré pour la première fois avec la version 0.105-26. La version stable la plus récente de Debian, Debian 10 ("mec"), utilise la version 0.105-25, ce qui signifie qu'il n'est pas vulnérable. Cependant, quelques dérivés de Debian, comme Ubuntu, sont basés sur Debian instable, qui est vulnérable," dit le chercheur.
Voici une liste des versions vulnérables, selon Blackhouse:
- RHEL 8;
- Feutre 21 ou plus tard;
- Debian teste « bullseye » »;
- Ubuntu 20.04.
Le bogue polkit est « étonnamment facile à exploiter ». L'exploitation nécessite quelques commandes dans le terminal en utilisant uniquement des outils standard tels que bash, tuer, et dbus-send. Peu dit, tout système avec version polkit 0.113 (ou plus tard) installé est vulnérable. Selon Red Hat, « La plus grande menace de cette vulnérabilité concerne la confidentialité et l'intégrité des données ainsi que la disponibilité du système.” Si, patcher dès que possible.
Plus de détails techniques sont disponibles dans Le blog GitHub de Kevin Blackhouse.