Qhov tsis zoo (CVE-2021-3560) tau raug txheeb xyuas nyob rau hauv Polkit tivthaiv, siv hauv kev faib khoom kom tso cai rau cov neeg siv tsis tau txais txiaj ntsig los ua cov haujlwm uas yuav tsum tau txais cov cai nce siab (piv txwv li, txuas lub USB drive), uas tso cai rau cov neeg siv hauv zos kom tau txais cov hauv paus. txoj cai hauv qhov system. Qhov tsis zoo yog kho hauv Polkit version 0.119.
Qhov teeb meem tau muaj txij li thaum tso tawm 0.113, tab sis ntau qhov kev faib tawm, suav nrog RHEL, Ubuntu, Debian thiab SUSE, rov qab xa cov haujlwm tsis muaj zog rau cov pob khoom raws li cov ntawv tso tawm Polkit qub (cov pob khoom kho twb muaj nyob rau hauv cov kev faib tawm).
Qhov teeb meem tshwm sim nws tus kheej hauv polkit_system_bus_name_get_creds_sync() muaj nuj nqi, uas tau txais cov cim (uid thiab pid) ntawm cov txheej txheem thov kom muaj cai nce ntxiv. Cov txheej txheem raug txheeb xyuas los ntawm Polkit los ntawm kev muab lub npe tshwj xeeb hauv DBus, uas yog siv los txheeb xyuas cov cai. Yog tias tus txheej txheem cuam tshuam los ntawm dbus-daemon ua ntej polkit_system_bus_name_get_creds_sync handler pib, tus neeg tuav ntaub ntawv tau txais qhov yuam kev tsis siv lub npe tshwj xeeb.
Qhov tsis zoo yog tshwm sim los ntawm qhov tseeb tias qhov yuam kev rov qab tsis raug ua tiav thiab polkit_system_bus_name_get_creds_sync() muaj nuj nqi rov TRUE es tsis txhob FALSE, txawm tias tsis tuaj yeem phim cov txheej txheem rau uid / pid thiab txheeb xyuas cov cai thov rau cov txheej txheem. Txoj cai los ntawm qhov uas polkit_system_bus_name_get_creds_sync() muaj nuj nqi tau hu ua xav tias daim tshev tau ua tiav thiab qhov kev thov kom nce cov cai tau los ntawm cov hauv paus thiab tsis yog los ntawm tus neeg siv tsis tsim nyog, uas ua rau nws muaj peev xwm ua tau tsim nyog yam tsis muaj kev lees paub ntxiv thiab kev lees paub ntawm daim ntawv pov thawj.
Tau qhov twg los: opennet.ru
