CYBER ALERTESNon classé

Vulnérabilité d’élévation de privilèges dans l’utilitaire « pkexec » de « polkit »

Photo de ACM_Admin ACM_Admin1 février 2022
0 2 Moins d’une minute
linux_polkit

Une vulnérabilité libellée CVE-2021-4034 d’élévation de privilèges a été découverte dans l’utilitaire « pkexec » de polkit. Son exploitation permettrait à des utilisateurs d’obtenir des droits d’administration sur la machine cible.

DESCRIPTION

La bibliothèque « polkit » est un outil permettant aux processus et applications qui s’exécutent avec des droits restreints d’interagir avec des services privilégiés sur un système Linux.

L’utilitaire « pkexec » qui fait partie de polkit est un outil setuid conçu pour permettre aux utilisateurs non privilégiés d’exécuter des commandes en tant qu’utilisateurs privilégiés selon des politiques prédéfinies.

La version actuelle de « pkexec » ne fait pas une gestion correcte du nombre de paramètres d’appel et cesse d’essayer d’exécuter les variables d’environnement en tant que commandes. Lorsqu’un attaquant viderait avec succès le tableau d’arguments, « pkexec » interprétera le contenu du tableau d’environnement comme argument. L’attaquant pourrait réaliser un exploit en créant des variables d’environnement spécifiques afin de provoquer une exécution de code arbitraire.

Un exploit réussi entraînerait une élévation de privilèges donnant aux utilisateurs non privilégiés des droits d’administration sur la machine cible.

IMPACT 

  • Elévation de privilèges 

  • Exécution de code arbitraire

SYSTÈMES AFFECTÉS 

Le composant logiciel polkit (anciennement appelé policykit-1) des distributions Linux 

MESURES À PRENDRE 

Il est fortement recommandé aux utilisateurs de mettre à jour leurs systèmes d’exploitation Linux

RÉFÉRENCES 

  • https://ubuntu.com/security/CVE-2021-4034

  • https://csirt.gouv.bj/vulnerabilite-delevation-de-privileges-dans-lutilitaire-pkexec-de-polkit/
Tags
Photo de ACM_Admin ACM_Admin1 février 2022
0 2 Moins d’une minute
Photo de ACM_Admin

ACM_Admin

Articles similaires

microsoft-exchange-alert

Exécution de code via PowerShell sur Microsoft Exchange Server

3 octobre 2022
img-7369

Tunisie : Plus de 330 violations de données révélées par l’INPDP

1 février 2023
Cisco et Cybastion lancent un programme de formation pour révolutionner les compétences numériques en Côte d'Ivoire

Cisco et Cybastion lancent un programme de formation pour révolutionner les compétences numériques en Côte d’Ivoire

18 décembre 2024
La CNPS-Cameroun réfute les accusations de piratage après des rumeurs de fuite de données

La CNPS-Cameroun réfute les accusations de piratage après des rumeurs de fuite de données

17 septembre 2024

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
vaycasinomilbetalgototohttps://algototo.digital/nobartvjudi bolaslot gacordepo 5kslot gacordeposit 5000slot onlineslot online link 5k deposit slot tanpa potongan agb99 deposit 5k deposit 5k dana slot danacasibomcasibom girişpadişahbetbetwoonnitrobahissonbahisgrandpashabetvegabetcasino levantholiganbetholiganbet girişholiganbet güncelholiganbet güncel girişmatbet girişmatbet güncelmatbet güncel girişmilosbetbetofficetimebetcratosroyalbetcratosroyalbet girişcratosroyalbet güncelcratosroyalbet güncel girişcasinolevantcasino levantholiganbet girişholiganbet güncelholiganbet güncel girişholiganbet güncel girişmatbetmatbet girişgrandpashabetultrabetenbetgalabethiltonbetpadişahbetsuratbetsüratbetbetplayatlasbetkralbetHoliganbet Girişwinxbetalmanbahisholiganbetholiganbet girişmeritkingmeritking girişmeritkingmeritking girişvaycasinovaycasino girişptt kargoptt kargo takipptt kargo sorgulamaptt kargo iletişimaras kargoaras kargo takiparas kargo sorgulamaaras kargo iletişimvegabetvegabetgalabetgalabetvdcasinovdcasinovdcasinovaycasinovaycasino girişrestbetrestbetbetkolikbetkolikgalabetvdcasinomilosbettimebetultrabetvegabetgalabetvdcasinomilosbettimebetultrabetlunabetonwinberlinbetrestbetbetplayraddissonbetgrandpashabetholiganbetholiganbet girişcasibomcasibom girişcasibomcasibom girişcratosroyalbetcratosroyalbet girişholiganbetkralbetholiganbet girişdeposit 10kdeposit 5kslot qrisslot danaslot danaslot gacorslot tanpa potonganagb99grandpashabetbetciosetrabetultrabetbahiscasinovegabetbetasustimebetbetplaygalabetsüratbetsuratbetcratosroyalbetcratosroyalbet girişberlinbetbetovishilarionbetkralbetromabetgrandpashabetmatbetrestbetlunabetvaycasinovaycasino girişbetplayenbetatlasbetgrandpashabetgrandbettingsonbahiscratosroyalbetsuratbetsüratbetvaycasinovaycasino girişgrandpashabetgrandpashabet girişultrabetultrabet girişoslobetoslobet girişcasibom güncelgalabetgalabet girişbahiscasinobetmarinocasinoroyal