
Estimado Cliente:
El equipo de Ciberseguridad de Netglobalis informa que una vulnerabilidad de escalamiento de privilegios de siete años de antigüedad fue descubierta en el servicio del sistema Polkit (de PolicyKit) y podría ser aprovechada por un atacante local malintencionado sin privilegios para eludir la autorización y escalar los permisos al usuario root.
Polkit es un conjunto de herramientas para definir y manejar autorizaciones en distribuciones de Linux, y se utiliza para permitir que los procesos sin privilegios se comuniquen con los procesos con privilegios.
Identificada como CVE-2021-3560 (puntuación CVSS: 7.8), la falla afecta a las versiones de polkit entre 0.113 y 0.118 y fue descubierta por el investigador de seguridad de GitHub Kevin Backhouse, quien dijo que el problema se introdujo en una actualización realizada el 9 de noviembre de 2013. Red Hat señaló que las distribuciones basadas en Debian, basadas en polkit 0.105, también son vulnerables.
La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema. RHEL 8, Fedora 21 (o posterior), Debian «Bullseye» y Ubuntu 20.04 son algunas de las distribuciones populares de Linux afectadas por la vulnerabilidad polkit. El problema se ha mitigado en la versión 0.119, que se lanzó el 3 de junio pasado.
Distribuciones actualmente vulnerables:
Distribución |
¿Vulnerable? |
RHEL 7 |
No |
RHEL 8 |
Si |
Fedora 20 (o anterior) |
No |
Fedora 21 (o posterior) |
Si |
Debian 10 (“buster”) |
No |
Debian testing |
Si |
Ubuntu 18.04 |
No |
Ubuntu 20.04 |
Si |
Para remediar cualquier posible riesgo que pueda surgir debido a este error, se recomienda encarecidamente a todos los usuarios que actualicen inmediatamente sus instalaciones de Linux lo antes posible.
Subgerencia de Ingeniería y Ciberseguridad Netglobalis.
Contacto
Avenida del Valle N° 928, Of. 101, Ciudad Empresarial, Huechuraba, Región Metropolitana, Chile.
Mesa Central: +56 (2) 2 588 9000 Fax: +56 (2) 2 248 4634
E-mail: contacto@netglobalis.net
Información de Clientes Consultas y Reclamos al 600 961 0000



