CVE-2021-4034 pkexec 本地提权

90_

Qualys 近期公开了一个影响众多 Linux 发行版，而且利用效果极其稳定的 Polkit 漏洞 CVE-2021-4034。Qualys 在文章中完整介绍了漏洞细节，没有放出 exploit，只有演示视频。

目前网络上已经出现完整 PoC。

原文作者在 Ubuntu、Debian、Fedora 和 CentOS 的默认安装环境上均测试通过。漏洞利用难度不高，最早引入问题的 commit 来自 2009 年，影响版本范围远超去年的 sudo 漏洞。反正我自己的虚拟机和 VPS 无一幸免。

这个漏洞是本地触发，只有在获得有限权限的前提下提升至 root。请大家综合考虑自己的业务影响做好升级工作。

Dixon

#在这里快速回有好东西就必须得蹭复#