关于Linux Polkit 权限提升漏洞（CVE-2021-4034）预警

一、漏洞介绍
近日，慧盾安全关注到国外安全团队披露了 Polkit 中的 pkexec 组件存在的本地权限提升漏洞（CVE-2021-4034），Polkit 默认安装在各个主要的 Linux 发行版本上，易受该漏洞影响的 pkexec 组件无法正确处理调用参数，并会尝试将环境变量作为命令执行。攻击者可以通过修改环境变量，从而诱导 pkexec 执行任意代码，利用成功可导致非特权用户获得管理员权限。

二、漏洞影响

影响目前主流的linux版本。

三、漏洞来源

国家信息安全漏洞库。

四、影响版本范围和修复方法

备注：视频接入安全网关和显示安全网关不受该漏洞影响。

五、规避措施

将pkexec中的SUID-bit权限去除，pkexec将不允许以其他用户身份运行。

六、修复补丁版本和方法获取方式

可拨打慧盾信息安全服务电话400-837-2933或是发送邮件给我们，邮箱地址：service@smartsecuri.com；或是联系售后服务人员获取补丁修复漏洞。

七、声明

有关您获取到的任何慧盾信息安全科技（苏州）股份有限公司的修复此漏洞的软件、补丁、文档，未经慧盾信息安全科技（苏州）股份有限公司的批准，不得向其他方披露任何信息，同时也不得尝试通过其他方式提取源代码，只有慧盾信息安全科技（苏州）股份有限公司有权使用或修改修复此漏洞的软件、补丁、文档等。同时，本文不作任何承诺和担保。