近日，國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Polkit 安全漏洞（CNNVD-202201-2343,、CVE-2021-4034）情況的報(bào)送,。成功利用此漏洞的攻擊者，可在默認(rèn)配置下提升本地用戶(hù)權(quán)限,。Polkit所有版本均受此漏洞影響,。目前，Polkit官方已發(fā)布新版本修復(fù)了漏洞,，請(qǐng)用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,，盡快采取修補(bǔ)措施。

　　一,、漏洞介紹

　　Polkit是一個(gè)在類(lèi) Unix操作系統(tǒng)中控制系統(tǒng)范圍權(quán)限的組件,，通過(guò)定義和審核權(quán)限規(guī)則,，實(shí)現(xiàn)不同優(yōu)先級(jí)進(jìn)程間的通訊。Polkit存在于所有主流的Linux發(fā)行版的默認(rèn)配置中,，攻擊者可通過(guò)修改環(huán)境變量來(lái)利用此漏洞,，進(jìn)而提升本地用戶(hù)權(quán)限。

　　二,、危害影響

　　成功利用此漏洞的攻擊者,，可在默認(rèn)配置下提升本地用戶(hù)權(quán)限。Polkit所有版本均受此漏洞影響,。polkit 0.92-0.115版本均受此漏洞影響,。

　　三、修復(fù)建議

　　目前,，Polkit官方已發(fā)布新版本修復(fù)了漏洞,，請(qǐng)用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施,。官方鏈接如下：

　　https://github.com/freedesktop/polkit/tags

　　本通報(bào)由CNNVD技術(shù)支撐單位——華為技術(shù)有限公司,、北京知道創(chuàng)宇信息技術(shù)股份有限公司、上海斗象信息科技有限公司,、深圳融安網(wǎng)絡(luò)科技有限公1司,、南京銥迅信息技術(shù)股份有限公司、杰潤(rùn)鴻遠(yuǎn)（北京）科技有限公司,、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,、深信服科技股份有限公司、北京永信至誠(chéng)科技股份有限公司,、新華三技術(shù)有限公司,、北京華順信安科技有限公司、亞信科技（成都）有限公司,、網(wǎng)神信息技術(shù)（北京）股份有限公司,、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、北京微步在線(xiàn)科技有限公司,、北京安天網(wǎng)絡(luò)安全技術(shù)有限公司,、北京鴻騰智能科技有限公司、杭州迪普科技股份有限公司提供支持,。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,，及時(shí)發(fā)布相關(guān)信息。如有需要,，可與CNNVD聯(lián)系,。聯(lián)系方式： cnnvdvul@itsec.gov.cn