记录阿里云Linux系统提示polkit pkexec本地提权漏洞(CVE-2021-4034)

李洋博客 2023-11-07 2.82 K阅读 0评论

文章最后更新时间:2023年11月08日已超过196天没有更新。

最近双十一大战在即几乎所有的主机商都在搞活动,力度可以说一年一次大促销,于是乎在我又双叒叕购买了一台阿里云主机,我本想着去找一台主机测试下把宝塔面板降级,但是操作了两天均以失败告终,其中有一次成功了,但是在我开启离线状态后还是自动更新了最新版,这是离成功最近的一次,emmmm有点跑偏了,说回正题哈,于是我重新安装了CentOS7.8x64系统,今天一看有一条漏洞修复提示“该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。”于是按照教程文档修复此漏洞。

记录阿里云Linux系统提示polkit pkexec本地提权漏洞(CVE-2021-4034) 第1张

漏洞描述

2022年1月25日 qualys安全研究人员披露 CVE-2021-4034 polkit pkexec 本地提权漏洞 漏洞细节,polkit pkexec 中对命令行参数处理有误,导致参数注入,能够导致本地提权。

记录阿里云Linux系统提示polkit pkexec本地提权漏洞(CVE-2021-4034) 第2张

解决建议

无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险:

chmod 0755 /usr/bin/pkexec

示例:

# ll /usr/bin/pkexec

-rwsr-xr-x 1 root root  /usr/bin/pkexec

# chmod 0755 /usr/bin/pkexec

# ll /usr/bin/pkexec

-rwxr-xr-x 1 root root  /usr/bin/pkexec

执行前权限一般为-rwsr-xr-x ,删除SUID-bit权限后一般为-rwxr-xr-x,如图:

记录阿里云Linux系统提示polkit pkexec本地提权漏洞(CVE-2021-4034) 第3张

后去检测依然提示此漏洞,针对CentOS 7的用户可通过以下命令来升级修复:

yum update polkit

如图,选择【y】直至成功。然后再去扫描发现漏洞已解除。

记录阿里云Linux系统提示polkit pkexec本地提权漏洞(CVE-2021-4034) 第4张

官方指出

  • CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用;

  • RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);

  • Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);

  • Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);

  • Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用;

  • 其他Linux发行版操作系统OS建议联系官方寻求软件包修复源。

修复完成之后等待阿里云重新扫描主机或者自己手动扫描,之后就会自动验证,不需要我们再去操作什么,此次漏洞不需要重启,好了,很简单的一次记录,真的是因为没什么可写的了,只能水了,有问题留言反馈!

文章版权声明:除非注明,否则均为老李笔记原创文章,转载或复制请以超链接形式并注明出处。

发表评论

快捷回复: 表情:
AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
评论列表 (暂无评论,2816人围观)

还没有评论,来说两句吧...

取消
微信二维码
微信二维码
支付宝二维码