本周，GitHub 披露了一個容易被利用的 Linux 漏洞的細(xì)節(jié)，該漏洞可被用來將目標(biāo)系統(tǒng)的用戶權(quán)限提升為 root 權(quán)限。

創(chuàng)新互聯(lián)服務(wù)項目包括懷來網(wǎng)站建設(shè)、懷來網(wǎng)站制作、懷來網(wǎng)頁制作以及懷來網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，懷來網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到懷來省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

[[405694]]

該漏洞被歸類為高風(fēng)險性，并被標(biāo)記為 CVE-2021-3560，影響到許多 Linux 發(fā)行版中默認(rèn)存在的授權(quán)服務(wù) polkit。

這個安全漏洞是由 GitHub 安全實驗室的 Kevin Backhouse 發(fā)現(xiàn)的。該研究人員發(fā)表了一篇博客文章，詳細(xì)介紹了他的發(fā)現(xiàn)，以及一段展示該漏洞的視頻。

本地、無權(quán)限的攻擊者只需在終端執(zhí)行幾個命令，就可以利用該漏洞將權(quán)限提升到 root。該漏洞目前已被證實影響到紅帽企業(yè)版 Linux、Fedora、Debian 和 Ubuntu 的一些版本。CVE-2021-3560 的補(bǔ)丁已于 6 月 3 日發(fā)布。

Backhouse 表示："我發(fā)現(xiàn)的這個漏洞是相當(dāng)古老的，它是七年前在提交 bfa5036 中引入的，并首次隨 polkit 0.113 版本一同出現(xiàn)。"

受攻擊的組件 polkit，是一個系統(tǒng)服務(wù)，旨在控制整個系統(tǒng)的權(quán)限，為非特權(quán)進(jìn)程提供一個與特權(quán)進(jìn)程通信的方式。Backhouse 在博客中將其描述為一個扮演法官角色的服務(wù)，改服務(wù)決定由用戶發(fā)起的行動 —— 特別是需要更高權(quán)限的行動 —— 是可以直接執(zhí)行還是需要額外的授權(quán)，如輸入密碼。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 披露 Linux 漏洞詳情，已影響眾多 Linux 發(fā)行版

本文地址：https://www.oschina.net/news/145972/github-discloses-details-linux-vulnerability

標(biāo)題名稱：GitHub披露Linux漏洞詳情，已影響眾多Linux發(fā)行版
文章位置：http://uogjgqi.cn/article/djcphpe.html