投稿
  1. 谷达鸭首页
  2. 游戏攻略

美国要求联邦机构限时修补PwnKit安全漏洞

谷达鸭官方 游戏攻略

影响所有主要Linux版本的PwnKit漏洞(CVE-2021-4034)在公布半年后,美国网络安全及基础设施安全局(CISA)判定该漏洞已遭开采,要求各联邦机构必须在7月18日以前完成修补

美国要求联邦机构限时修补PwnKit安全漏洞

资安业者Qualys于今年1月揭露一个存在Linux系统管理组件Polkit长达12年的安全漏洞CVE-2021-4034,该漏洞允许骇客以根权限执行代码,而且波及所有主要Linux版本,又被称为PwnKit漏洞。 由于已发现针对该漏洞的攻击行动,使得美国网络安全及基础设施安全局(CISA)于本月27日将它纳入「已知遭开采漏洞」(Known Exploited Vulnerabilities)目录中,要求美国联邦机构必须在7月18日以前修补。

Polkit负责制定与处理在Linux系统上可允许非特权程序及特权程序通讯的政策,其中的Pkexec工具可利用setuid功能代其它使用者执行命令,PwnKit漏洞即允许非特权的本地端黑客扩张权限,绕过任何政策与身分认证,取得管理员权限,从Red Hat、Ubuntu、Debian、 Fedora到CentOS等Linux版本都受到影响。

当Qualys在1月25日公布PwnKit漏洞之后的几个小时,相关的概念性验证程序就问世了。

CISA仅说已发现该漏洞遭到开采的证据,并未说明受害者或攻击内容。

值得注意的是,除了PwnKit漏洞之外,CISA当天也将另外7个漏洞纳入「已知遭开采漏洞」目录中,包括谷歌于去年5月就修补的Chromium漏洞CVE-2021-30533,以及苹果自2018年到2021年间所修补的5个安全漏洞。

除了要求联邦机构限时修补之外,CISA也强烈建议所有组织应该优先修补被列入此一已遭开采目录的所有安全漏洞。

(0)
打赏 微信扫一扫 微信扫一扫
谷达鸭官方谷达鸭官方
0 0

相关推荐

发表评论

登录后才能评论