關于Polkit 安全漏洞的預警

近日，國家信息安全漏洞庫（CNNVD）收到關于Polkit 安全漏洞（CNNVD-202201-2343、CVE-2021-4034）情況的報送。成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權限。Polkit所有版本均受此漏洞影響。目前，Polkit官方已發布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Polkit是一個在類 Unix操作系統中控制系統范圍權限的組件，通過定義和審核權限規則，實現不同優先級進程間的通訊。Polkit存在于所有主流的Linux發行版的默認配置中，攻擊者可通過修改環境變量來利用此漏洞，進而提升本地用戶權限。

二、危害影響          

成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權限。Polkit所有版本均受此漏洞影響。polkit 0.92-0.115版本均受此漏洞影響。

三、修復建議

	目前，Polkit官方已發布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：
	https://github.com/freedesktop/polkit/tags

本通報由CNNVD技術支撐單位——華為技術有限公司、北京知道創宇信息技術股份有限公司、上海斗象信息科技有限公司、深圳融安網絡科技有限公1司、南京銥迅信息技術股份有限公司、杰潤鴻遠（北京）科技有限公司、北京天融信網絡安全技術有限公司、深信服科技股份有限公司、北京永信至誠科技股份有限公司、新華三技術有限公司、北京華順信安科技有限公司、亞信科技（成都）有限公司、網神信息技術（北京）股份有限公司、遠江盛邦（北京）網絡安全科技股份有限公司、北京微步在線科技有限公司、北京安天網絡安全技術有限公司、北京鴻騰智能科技有限公司、杭州迪普科技股份有限公司提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn