© 1995-2022 Компания «Инфосистемы Джет»
Главная>Новости>Новости «Инфосистемы Джет»>«Инфосистемы Джет» опубликовала рекомендации по устранению уязвимости pwnkit в unix-like дистрибутивах

31.01.2022

Посетителей: 12

Просмотров: 12

Время просмотра: 2.3

Об этом стало известно 25 января из отчёта экспертов Qualys. Уязвимость CVE-2021-4034 затрагивает утилиту pkexec инструмента Polkit, который управляет привилегиями по всей системе в Unix-подобных операционных системах. ИБ-эксперты «Инфосистемы Джет» подготовили бюллетень с рекомендациями по устранению угроз на сайте Jet CSIRT.

 

Уязвимость позволяет реализовать локальное повышение привилегий (от любого пользователя до root — суперпользователя). Pkexec установлена по умолчанию во всех основных дистрибутивах Linux (Ubuntu, Debian, Fedora, CentOS и другие).

 

В настоящий момент уязвимости присвоен высокий уровень опасности (7,8 баллов по шкале CVSS). Важно отметить, что pkexec небезопасна уже 12 лет — с момента своего создания в мае 2009 года. Технически CVE-2021-4034 относится к уязвимостям класса повреждения памяти (memory corruption), и она может быть эксплуатирована мгновенно и почти гарантированно, независимо от архитектуры. К тому же эту уязвимость можно эксплуатировать, даже если сам демон polkit не запущен.

 

В настоящий момент опубликованы PoC (Proof-of-Concept) эксплойты, а основные производители программного обеспечения на основе операционной системы Linux уже выпустили обновления и инструкции по закрытию уязвимости.

 

Можно ожидать, что CVE-2021-4034 приведёт к расширению возможностей, атакующих как в краткосрочном, так и в долгосрочном периоде. Тысячи и тысячи Linux-систем по всему миру во всех секторах индустрии требуют оперативных мер по устранению данной уязвимости. Мы подготовили соответствующий бюллетень с рекомендациями по устранению данных угроз. Он доступен на сайте Jet CSIRT и постоянно обновляется.

Алексей Мальнев,

руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Уведомления об обновлении новостей – в вашей почте

04
10

«Инфосистемы Джет» построила Data Lake для НЛМК

Подразделению Data Science НЛМК требовался удобный инструмент для работы с получаемыми данными.

03
02

Модернизация дата-центров Норникеля в условиях вечной мерзлоты стала проектом года

30 января состоялась церемония награждения победителей премии «Проект года» Global CIO 2019

17
12

В «Инфосистемы Джет» появилось направление мониторинга инфраструктуры

Специалисты компании помогут клиентам проактивно реагировать на инциденты и предотвращать сбои в работе бизнеса.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня