Вероятно, новый 2022 год стал не лучшим началом для Linux, когда речь идет о вредоносных программах и безопасности. Совсем недавно был опубликован отчет, в котором сообщается о десятикратном увеличении количества образцов вредоносного ПО для Linux, а сейчас стало известно о новой уязвимости безопасности, получившей название «PwnKit», которая, по-видимому, оставалась незамеченной в течение 12 с лишним лет.
Исследователи безопасности Linux из Qualys обнаружили опасную уязвимость в системе безопасности, из-за которой все основные дистрибутивы Linux становятся уязвимыми и могут использоваться для локального повышения привилегий (LPE). Новой уязвимости присвоен идентификатор «CVE-2021-4034».
Polkit, ранее известный как PolicyKit, является библиотекой systemd SUID-root. Она установлена по умолчанию во всех основных дистрибутивах Linux.
Компания Red Hat оценивает данную уязвимость в 7.8 баллов по шкале системы оценки уязвимостей. Это высокая оценка.
Эту уязвимость легко эксплуатировать. И с её помощью обычный пользователь может получить полные привилегии суперпользователя на уязвимом компьютере, используя эту уязвимость в конфигурации по умолчанию. Как пишет Qualys в своем кратком описании проблемы: «Эта уязвимость — воплощение мечты злоумышленника».
Команда исследователей сообщает, что с помощью эксплойта они смогли получить полные привилегии root в дистрибутивах Linux, таких как Ubuntu, Debian, Fedora и CentOS, специалисты также считают, что другие дистрибутивы Linux тоже уявзимы. Это связано с тем, что обнаруженная уязвимость представляет собой уязвимость, приводящую к повреждению памяти, в программе Polkit pkexec, программе с корневым идентификатором SUID, которая установлена &&во всех основных дистрибутивах Linux.
Другими словами, pkexec похож на команду sudo. Действительно, разработчики Debian описывают его как «sudo systemd».

Выполните обновление системы для установки патчей, исправляющих данную уязвимость.
Linux: обзоры и обновления
• OpenMandriva сообщила о саботаже: удалены репозитории на GitHub
• Linux Mint сделает Wayland в Cinnamon полностью поддерживаемым
• Valve выпустила Proton 11.0: Wine 11, NTSYNC, поддержка ARM64EC и десятки исправлений для Windows-игр на Linux
• deepin 25.2.0 получил стабильный Treeland и поиск по изображениям
• KDE выпустила Plasma 6.6.6 — финальное обновление ветки 6.6
• Valve выпустила драйверы Windows для Steam Machine