Вероятно, новый 2022 год стал не лучшим началом для Linux, когда речь идет о вредоносных программах и безопасности. Совсем недавно был опубликован отчет, в котором сообщается о десятикратном увеличении количества образцов вредоносного ПО для Linux, а сейчас стало известно о новой уязвимости безопасности, получившей название «PwnKit», которая, по-видимому, оставалась незамеченной в течение 12 с лишним лет.
Исследователи безопасности Linux из Qualys обнаружили опасную уязвимость в системе безопасности, из-за которой все основные дистрибутивы Linux становятся уязвимыми и могут использоваться для локального повышения привилегий (LPE). Новой уязвимости присвоен идентификатор «CVE-2021-4034».
Polkit, ранее известный как PolicyKit, является библиотекой systemd SUID-root. Она установлена по умолчанию во всех основных дистрибутивах Linux.
Компания Red Hat оценивает данную уязвимость в 7.8 баллов по шкале системы оценки уязвимостей. Это высокая оценка.
Эту уязвимость легко эксплуатировать. И с её помощью обычный пользователь может получить полные привилегии суперпользователя на уязвимом компьютере, используя эту уязвимость в конфигурации по умолчанию. Как пишет Qualys в своем кратком описании проблемы: «Эта уязвимость — воплощение мечты злоумышленника».
Команда исследователей сообщает, что с помощью эксплойта они смогли получить полные привилегии root в дистрибутивах Linux, таких как Ubuntu, Debian, Fedora и CentOS, специалисты также считают, что другие дистрибутивы Linux тоже уявзимы. Это связано с тем, что обнаруженная уязвимость представляет собой уязвимость, приводящую к повреждению памяти, в программе Polkit pkexec, программе с корневым идентификатором SUID, которая установлена &&во всех основных дистрибутивах Linux.
Другими словами, pkexec похож на команду sudo. Действительно, разработчики Debian описывают его как «sudo systemd».
Выполните обновление системы для установки патчей, исправляющих данную уязвимость.
Linux: обзоры и обновления
• GE-Proton 10-8: улучшения для Wayland и запуск Wuthering Waves на Linux и Steam Deck
• Обновление SteamOS 3.7.13: исправления Wi-Fi на Steam Deck OLED и улучшения для других портативных ПК
• Релиз KDE Plasma 6.4.2: Исправления ошибок в Powerdevil, KWin и Plasma Desktop
• Пользователям Ubuntu 24.10 пора обновляться — поддержка заканчивается 10 июля
• GE-Proton 10-7 для Linux, SteamOS и на Steam Deck вышел с исправлениями для популярных игр и поддержки Wine Wayland
• Обновления Linux за неделю: 23 – 29 июня 2025 года