연구원들은 오늘 CVE-2021-4034(PwnKit)로 확인된 Polkit의 pkexec 구성 요소의 취약점이 모든 주요 Linux 배포판의 기본 구성에 존재하며 이를 악용하여 시스템에 대한 전체 루트 권한을 얻을 수 있다고 경고했습니다.
CVE-2021-4034의 이름은 PwnKit이며, 그 기원은 12년 전 pkexec의 초기 커밋으로 거슬러 올라가며, 이는 모든 Polkit 버전이 영향을 받는다는 것을 의미합니다.
권한이 있는 프로세스와 권한이 없는 프로세스 간의 상호 작용을 협상하는 Polkit 오픈 소스 애플리케이션 프레임워크의 일부로서, 권한이 있는 사용자가 sudo 대신 다른 사용자로 명령을 실행할 수 있도록 하는 pkexec을 사용할 수 있습니다. [자세히 보기]