使用 Linux系统 的用户需要注意: CVE-2021-4034 polkit pkexec 本地提权漏洞 ,若不及时修复,可能有被入侵的风险,下面IT备忘录小编就给大家介绍下这个漏洞的修复方法。
案例1 :最近在云服务器上安装了CentOS8.5,安装BT面板之后,提示高危安全风险: CVE-2021-4034 polkit pkexec 本地提权漏洞,风险描述:请更新polkit;解决方案:1、更新polkit 组件。 该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
解决方法:
1、无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险:
chmod 0755 /usr/bin/pkexec
相关阅读 : Linux权限命令详解
示例:
# ll /usr/bin/pkexec -rwsr-xr-x 1 root root /usr/bin/pkexec # chmod 0755 /usr/bin/pkexec # ll /usr/bin/pkexec -rwxr-xr-x 1 root root /usr/bin/pkexec
执行前权限一般为-rwsr-xr-x ,删除SUID-bit权限后一般为-rwxr-xr-x
2、CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用;
3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
4、Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
5、Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
6、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用;
7、其他Linux发行版操作系统OS建议联系官方寻求软件包修复源。
CentOS8 修复时提示:
CentOS-8 - AppStream 46 B/s | 38 B 00:00 Error: Failed to download metadata for repo 'AppStream': Cannot prepare internal mirrorlist: No URLs in mirrorlist
错误原因:
自2022年1月31日起,CentOS团队从官方镜像中移除CentOS 8的所有包,但软件包仍在官方镜像上保留一段时间。现在被转移到https://vault.centos.org。如需继续运行旧CentOS 8,可以在/etc/yum.repos中更新repos.d,使用vault.centos.org代替mirror.centos.org;
sudo sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-* sudo sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*temp_banner("c01");
查看更多关于CVE-2021-4034 polkit pkexec 本地提权漏洞修复方法的详细内容...