В большинстве сборок Linux нашли опасную уязвимость
Облачная платформа Qualys опубликовала данные о серьезной "дыре" в коде Linux, затрагивающей практически все популярные дистрибутивы. Она позволяет легко получить root-права в атакуемой системе, чтобы обеспечить себе полный доступ к содержимому компьютера.
Согласно отчету исследователей, уязвимость под названием PwnKit (CVE-2021-4034) связана с особенностями работы компонента Polkit pkexec и затрагивает все его версии начиная с 2009 года. В Qualys отметили, что эксплойт позволяет любому пользователю с минимальными правами получить root-доступ для полного "захвата" системы. На практике специалисты смогли реализовать такой сценарий на компьютерах под управлением дистрибутивов Ubuntu, Debian, Fedora и CentOS.
PwnKit Vulnerability from Qualys, Inc. on Vimeo.
По мнению экспертов, описанный метод взлома может быть использован и в других дистрибутивах Linux - во всяком случае, в стандартных конфигурациях. Отмечается, что сам механизм работы уязвимости был обнаружен еще в ноябре, и опубликован уже после того, как для большинства затрагиваемых версий Linux были выпущены соответствующие патчи. Кроме того, для успешной работы PwnKit требуется физический доступ к ПК - удаленно воспроизвести атаку не получится.
