https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html
12年前のセキュリティの脆弱性が、Polkitと呼ばれるシステムユーティリティで公開されました。
Qualysの脆弱性および脅威調査の責任者であるBharatJogi氏は、「この脆弱性により、特権のないユーザーは、デフォルト構成でこの脆弱性を悪用することにより、脆弱なホストに対する完全なルート権限を取得できます」と述べ、「12年間、目に見えないところに隠れていました。 +年、2009年5月の最初のバージョン以降のpkexecのすべてのバージョンに影響します。」
この脆弱性はリモートで悪用されることはありませんが、別の手段でシステムに足場を確立している攻撃者は、欠陥を武器にして完全なルート権限を取得する可能性があります。
2021年6月、GitHubのセキュリティ研究者であるKevin Backhouseは、rootユーザーに権限を昇格させるために悪用される可能性のある7年前の特権昇格の脆弱性(CVE-2021-3560)の詳細を明らかにしました。
その上、この開示は、Linuxカーネル(CVE-2022-0185)に影響を与えるセキュリティ上の欠陥のすぐ後に到達します。
この欠陥は、攻撃者が非特権ユーザーとしてシステムにアクセスし、ルートへの権利をエスカレートする可能性があります。
12年前のPolkitの欠陥により、特権のないLinuxユーザーがルートアクセスを取得できるようになりました、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント