本周,GitHub披露了一个易于利用的Linux漏洞的详细信息,该漏洞可用于将用户权限提升到目标系统上的root权限。该漏洞被归类为高风险并被跟踪为CVE-2021-3560,它影响polkit,这是许多Linux发行版中默认存在的授权服务。该安全漏洞是由GitHub安全实验室的KevinBackhouse发现的。研究人员发表了一篇详细介绍他的发现的博客文章,以及一段演示该漏洞的视频。本地非特权攻击者只需在终端中执行一些命令即可利用此漏洞将权限提升至root。该漏洞已被确认影响RedHatEnterpriseLinux、Fedora、Debian和Ubuntu的某些版本。CVE-2021-3560的补丁于6月3日发布。“我发现的漏洞很老,它是七年前在提交bfa5036时引入的,首次出现在polkit版本0.113中,”Backhouse说。受到攻击的组件是polkit,这是一种系统服务,旨在控制系统范围的权限,为非特权进程提供一种与特权进程通信的方式。Backhouse在博客文章中将其描述为充当法官的服务,决定用户发起的操作——尤其是那些需要更高权限的操作——是可以直接执行还是需要额外的授权,例如输入密码。本文转自OSCHINA本文标题:GitHub披露Linux漏洞详情,影响多个Linux发行版。地址:https://www.oschina.net/news/145972/github-discloses-details-linux-vulnerability
