近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Polkit 安全漏洞（CNNVD-202201-2343、CVE-2021-4034）情況的報送。成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權(quán)限。Polkit所有版本均受此漏洞影響。目前，Polkit官方已發(fā)布新版本修復(fù)了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

　　一、漏洞介紹

　　Polkit是一個在類 Unix操作系統(tǒng)中控制系統(tǒng)范圍權(quán)限的組件，通過定義和審核權(quán)限規(guī)則，實現(xiàn)不同優(yōu)先級進程間的通訊。Polkit存在于所有主流的Linux發(fā)行版的默認配置中，攻擊者可通過修改環(huán)境變量來利用此漏洞，進而提升本地用戶權(quán)限。

　　二、危害影響

　　成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權(quán)限。Polkit所有版本均受此漏洞影響。polkit 0.92-0.115版本均受此漏洞影響。

　　三、修復(fù)建議

　　目前，Polkit官方已發(fā)布新版本修復(fù)了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：

　　https://github.com/freedesktop/polkit/tags

　　本通報由CNNVD技術(shù)支撐單位——華為技術(shù)有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、上海斗象信息科技有限公司、深圳融安網(wǎng)絡(luò)科技有限公1司、南京銥迅信息技術(shù)股份有限公司、杰潤鴻遠（北京）科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司、北京永信至誠科技股份有限公司、新華三技術(shù)有限公司、北京華順信安科技有限公司、亞信科技（成都）有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、遠江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、北京微步在線科技有限公司、北京安天網(wǎng)絡(luò)安全技術(shù)有限公司、北京鴻騰智能科技有限公司、杭州迪普科技股份有限公司提供支持。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。聯(lián)系方式： cnnvdvul@itsec.gov.cn