Linux爆提權(quán)漏洞,麒麟軟件已發(fā)布修復(fù)方案

  • 人閱讀
  • 2022-02-17 09:55:05

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

近日,Linux Polkit中pkexec權(quán)限提升漏洞爆發(fā),麒麟軟件迅速開展漏洞修復(fù),第一時(shí)間在麒麟軟件官網(wǎng)發(fā)布了針對(duì)此漏洞的安全公告,為用戶提供緊急修復(fù)方案。

pkexec應(yīng)用程序是一個(gè)setuid工具,旨在允許非特權(quán)用戶根據(jù)預(yù)定義的策略以特權(quán)用戶身份運(yùn)行命令。當(dāng)前版本的pkexec沒有正確處理調(diào)用參數(shù)的個(gè)數(shù),并最終試圖將環(huán)境變量作為命令執(zhí)行,從而誘導(dǎo)pkexec執(zhí)行任意代碼。

此外,此漏洞的觸發(fā)途徑是本地觸發(fā),在網(wǎng)絡(luò)環(huán)境、物理環(huán)境安全的前提下,漏洞的觸發(fā)較為困難,影響較為有限,此漏洞評(píng)分最終定為7.8分。

麒麟軟件具有專門的PSIRT團(tuán)隊(duì),即產(chǎn)品安全事件應(yīng)急響應(yīng)團(tuán)隊(duì),負(fù)責(zé)維護(hù)公司產(chǎn)品安全質(zhì)量,建立了對(duì)安全漏洞全生命周期管理機(jī)制,涵蓋麒麟產(chǎn)品安全漏洞收集與挖掘、驗(yàn)證測(cè)試、修復(fù)、安全補(bǔ)丁的發(fā)布與公告。

此漏洞爆發(fā)后,麒麟軟件PSIRT團(tuán)隊(duì)根據(jù)漏洞情報(bào)信息,迅速組織安全專家進(jìn)行產(chǎn)品自查,啟動(dòng)緊急修復(fù)響應(yīng),通過多輪自動(dòng)化掃描以及專家組仔細(xì)排查,已從麒麟軟件全平臺(tái)產(chǎn)品各版本中發(fā)現(xiàn)影響組件包共計(jì)6個(gè),并完成全部修復(fù),同時(shí)在麒麟軟件官網(wǎng)發(fā)布了針對(duì)此漏洞的安全公告,推送了相應(yīng)的安全更新補(bǔ)丁、加固策略以及防護(hù)手段,建議受影響用戶前往麒麟官網(wǎng)(www.kylinos.cn)——服務(wù)支持 ——安全漏洞欄目,查詢“polkit漏洞”或“policykit-1安全漏洞”,即可獲得相關(guān)文檔和下載與您使用的操作系統(tǒng)版本相對(duì)應(yīng)的補(bǔ)丁包。

Linux爆提權(quán)漏洞,麒麟軟件已發(fā)布修復(fù)方案

Linux爆提權(quán)漏洞,麒麟軟件已發(fā)布修復(fù)方案

具體此次漏洞修復(fù)時(shí)間線如下:

1月25日22點(diǎn)檢測(cè)到上游對(duì)此漏洞的定級(jí)以及修復(fù)進(jìn)度。

1月26日9點(diǎn)開始分析產(chǎn)品受影響情況,嘗試在各個(gè)版本的系統(tǒng)上觸發(fā)該漏洞。

1月26日21點(diǎn)開始著手修復(fù)漏洞,并使用攻擊腳本進(jìn)行復(fù)測(cè)。

1月27日11點(diǎn)進(jìn)行補(bǔ)丁驗(yàn)證,通過攻擊腳本(POC)與功能測(cè)試,保證軟件包的穩(wěn)定性、可用性。

1月27日16點(diǎn)發(fā)布麒麟操作系統(tǒng)產(chǎn)品的補(bǔ)丁。

1月27日18點(diǎn)在麒麟軟件官網(wǎng)發(fā)布安全公告的補(bǔ)丁。

1月28日10點(diǎn)基于上游補(bǔ)丁,著手修復(fù)麒麟老版本操作系統(tǒng)產(chǎn)品的漏洞。

1月28日14點(diǎn)完成麒麟桌面和服務(wù)器操作系統(tǒng)產(chǎn)品全系列全架構(gòu)漏洞修復(fù),并同步發(fā)布公告。

剛剛過去的2021年12月,開源軟件Log4j2爆發(fā)高危漏洞,麒麟軟件同樣基于集自身多渠道發(fā)現(xiàn)漏洞、專職應(yīng)急漏洞響應(yīng)組快速修復(fù)漏洞、及時(shí)發(fā)布補(bǔ)丁、提供專業(yè)修復(fù)方案等于一體的網(wǎng)絡(luò)安全漏洞管理體系,進(jìn)行了漏洞修復(fù),為用戶保駕護(hù)航。

長(zhǎng)期以來,麒麟軟件作為中國操作系統(tǒng)的標(biāo)桿企業(yè),致力于操作系統(tǒng)安全技術(shù)研究,在產(chǎn)品內(nèi)部安全方面,創(chuàng)新研發(fā)出了國內(nèi)外首個(gè)具有內(nèi)生安全體系的操作系統(tǒng),在對(duì)外網(wǎng)絡(luò)安全漏洞管理方面具有非常豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。安全隱患無處不在,更加需要專業(yè)的技術(shù)團(tuán)隊(duì)提供服務(wù)保障,選擇麒麟操作系統(tǒng)產(chǎn)品,就是選擇了專業(yè)與安全。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )