Root-Zugriff unter Linux durch Polkit-Lücke

27.01.2022
Aktuelles

Sicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die Rechteausweitung ermöglicht. Für viele Distributionen sind bereits Patches verfügbar.

Polkit regelt die Berechtigungen zur Kommunikation von Software im Nutzer-Kontext etwa mit privilegierten Diensten, vergleichbar mit der Windows-Benutzerkontensteuerung; es ist auf praktisch allen aktuellen Linux-Distributionen standardmäßig installiert. Obwohl das Paket eigentlich aus dem Systemd-Umfeld stammt, findet es sich sogar in Systemd-freien Distributionen wie Devuan. Eine Sicherheitslücke in Polkit erlaubt Nutzern das Ausweiten ihrer Rechte am System.

Diese jetzt entdeckte Schwachstelle befindet sich im Befehl pkexec – und das wohl schon seit seinem ersten Release im Mai 2009 (CVE-2021-4034, CVSS etwa bei RedHat 7.8, Risiko hoch).

Weitere Infos unter