CVE-2021-4034(PwnKit)として特定されたPolkitのpkexecコンポーネントの脆弱性は、すべての主要なLinuxディストリビューションのデフォルト設定に存在し、システムの完全なルート権限を取得するために悪用される可能性がある、と研究者は本日警告した。
CVE-2021-4034はPwnKitと名付けられ、その起源は12年以上前のpkexecの最初のコミットまで遡る。
特権プロセスと非特権プロセス間のやりとりをネゴシエートするPolkitオープンソース・アプリケーション・フレームワークの一部として、pkexecは、sudoの代替として、権限を与えられたユーザーが別のユーザーとしてコマンドを実行することを可能にする。 [続きを読む]