Linux 爆发 pkexec 提权漏洞，麒麟软件发布修复方案

图片地址：https://img.ithome.com/newsuploadfiles/2022/1/dfee3973-519d-4b5d-af9f-5aec91cec0ce.png

IT之家 1 月 30 日消息，近日，Linux Polkit 中 pkexec 权限提升漏洞爆发，麒麟软件迅速开展漏洞修复，已在麒麟软件官网发布了针对此漏洞的安全公告，为用户提供紧急修复方案。pkexec 应用程序是一个 setuid 工具，旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。当前版本的 pkexec 没有正确处理调用参数的个数，并最终试图将环境变量作为命令执行，从而诱导 pkexec 执行任意代码。此外，此漏洞的触发途径是本地触发，在网络环境、物理环境安全的前提下，漏洞的触发较为困难，影响较为有限，此漏洞评分最终定为 7.8 分。此漏洞爆发后，麒麟软件 PSIRT 团队根据漏洞情报信息，组织安全专家进行产品自查，启动紧急修复响应，通过多轮自动化扫描以及专家组仔细排查，已从麒麟软件全平台产品各版本中发现影响组件包共计 6 个，并完成全部修复，同时在麒麟软件官网发布了针对此漏洞的安全公告，推送了相应的安全更