近日，國家信息安全漏洞庫（CNNVD）收到關于Polkit 安全漏洞（CNNVD-202201-2343、CVE-2021-4034）情況的報送。成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權限。Polkit所有版本均受此漏洞影響。目前，Polkit官方已發(fā)布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

　　一、漏洞介紹

　　Polkit是一個在類 Unix操作系統(tǒng)中控制系統(tǒng)范圍權限的組件，通過定義和審核權限規(guī)則，實現(xiàn)不同優(yōu)先級進程間的通訊。Polkit存在于所有主流的Linux發(fā)行版的默認配置中，攻擊者可通過修改環(huán)境變量來利用此漏洞，進而提升本地用戶權限。

　　二、危害影響

　　成功利用此漏洞的攻擊者，可在默認配置下提升本地用戶權限。Polkit所有版本均受此漏洞影響。polkit 0.92-0.115版本均受此漏洞影響。

　　三、修復建議

　　目前，Polkit官方已發(fā)布新版本修復了漏洞，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：

　　https://github.com/freedesktop/polkit/tags

　　本通報由CNNVD技術支撐單位——華為技術有限公司、北京知道創(chuàng)宇信息技術股份有限公司、上海斗象信息科技有限公司、深圳融安網(wǎng)絡科技有限公1司、南京銥迅信息技術股份有限公司、杰潤鴻遠（北京）科技有限公司、北京天融信網(wǎng)絡安全技術有限公司、深信服科技股份有限公司、北京永信至誠科技股份有限公司、新華三技術有限公司、北京華順信安科技有限公司、亞信科技（成都）有限公司、網(wǎng)神信息技術（北京）股份有限公司、遠江盛邦（北京）網(wǎng)絡安全科技股份有限公司、北京微步在線科技有限公司、北京安天網(wǎng)絡安全技術有限公司、北京鴻騰智能科技有限公司、杭州迪普科技股份有限公司提供支持。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關情況，及時發(fā)布相關信息。如有需要，可與CNNVD聯(lián)系。聯(lián)系方式： cnnvdvul@itsec.gov.cn