CVE-2021-3560

Red Hat Enterprise Linux Polkit Project Policykit (polkit) sérülékenysége
Angol cím: Red Hat Enterprise Linux Polkit Project Policykit (polkit) vulnerability

Publikálás dátuma: 2022.02.16.
Utolsó módosítás dátuma: 2022.07.11.


Leírás

Szokatlan vagy kivételes feltételek nem megfelelő ellenőrzése: A program nem, vagy helytelenül ellenőrzi a szokatlan vagy kivételes feltételeket, amelyek nem fordulnak elő gyakran a szoftver napi működése során.

Leírás forrása: CWE-754


Elemzés leírás

Eredeti nyelven: It was found that polkit could be tricked into bypassing the credential checks for D-Bus requests, elevating the privileges of the requestor to the root user. This flaw could be used by an unprivileged local attacker to, for example, create a new local administrator. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

Elemzés leírás forrása: CVE-2021-3560


Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 7.8 (Magas)
Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 1.8


Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

bugzilla.redhat.com
github.blog

Sérülékeny szoftverek

Polkit Project Policykit (aka polkit) 0.119 előttig
Debian Debian Linux 11.0
Canonical Ubuntu Linux 20.04
Red Hat Virtualization 4.0
Red Hat Virtualization Host 4.0
Red Hat Enterprise Linux 8.0 nem érintett
Redhat OpenShift Container Platform 4.7
Red Hat Enterprise Linux (RHEL) (7) 7.0 nem érintett
Red Hat Enterprise Linux 8.0 nem érintett

Címkék

Red Hat


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »