研究人员今天警告说,Polkit 的 pkexec 组件中的一个漏洞被标识为 CVE-2021-4034 (PwnKit),存在于所有主要 Linux 发行版的默认配置中,可被利用以获得系统的完全 root 权限。
CVE-2021-4034 被命名为 PwnKit,其起源可追溯到 12 多年前 pkexec 的初始提交,这意味着所有 Polkit 版本都受到影响。
作为 Polkit 开源应用程序框架的一部分,它协商特权和非特权进程之间的交互,pkexec 允许授权用户以另一个用户的身份执行命令,作为 sudo 的替代品。 [原文链接]