PolicyKit 权限许可和访问控制漏洞

漏洞信息详情

PolicyKit 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201210-016
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-4945
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-10-09
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2012-10-09
  
• 厂        商：
  
  michael_biebl
• 漏洞来源：

Red Hat PolicyKit（又名Polkit）是美国红帽（Red Hat）公司的一个用于在Unix兼容系统中对应用程序进行权限控制的工具。该工具为现代桌面提供了一个中央框架用于授权一般应用程序进行特权工作。

PolicyKit 0.103版本中存在漏洞，该漏洞源于设置AdminIdentities默认为‘wheel’。在wheel组中的本地攻击者可利用该漏洞不需要身份认证获取根权限。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://launchpad.net/ubuntu/+source/policykit-1/0.103-1

来源: launchpad.net

链接:https://launchpad.net/ubuntu/+source/policykit-1/0.103-1

来源: bugs.gentoo.org

链接:https://bugs.gentoo.org/show_bug.cgi?id=401513

来源: MLIST

名称: [oss-security] 20120327 Re: CVE Request: PolicyKit change allows users in

链接:http://www.openwall.com/lists/oss-security/2012/03/28/2

来源: MLIST

名称: [oss-security] 20120327 CVE Request: PolicyKit change allows users in

链接:http://www.openwall.com/lists/oss-security/2012/03/28/1

来源: MLIST

名称: [polkit-devel] 20111206 polkit 0.103

链接:http://www.mail-archive.com/polkit-devel@lists.freedesktop.org/msg00327.html

来源: patch-tracker.debian.org

链接:http://patch-tracker.debian.org/patch/series/view/policykit-1/0.104-2/05_revert-admin-identities-unix-group-wheel.patch

来源: cgit.freedesktop.org

链接:http://cgit.freedesktop.org/PolicyKit/commit/?id=763faf434b445c20ae9529100d3ef5290976d0c9

来源:SECUNIA

名称:48817

链接:http://secunia.com/advisories/48817