Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
PolicyKit - это набор инструментов для проверки полномочий и проведения авторизации.
Состояние гонки существует в утилите pkcheck в PolicyKit и связано с проверкой авторизации процесса, определенного идентификатором process ID с помощью параметра --process. Эксплуатация данной уязвимости позволяет локальному пользователю обойти авторизацию в PolicyKit и повысить уровень своих привилегий.
(CVE-2013-4288)
Примечание: Для обеспечения корректной проверки авторизации процесса необходимо настроить использование аргументов pid,pid-start-time и uid для параметра --process, используемого приложениями, которые вызывают утилиту pkcheck.
-
Для устранения уязвимостей, всем пользователям polkit необходимо обновить систему, используя данные пакеты обновлений с бэкпортироваными исправлениями. Для того чтобы обновления вступили в силу, необходимо перезагрузить систему.
Состояние гонки существует в утилите pkcheck в PolicyKit и связано с проверкой авторизации процесса, определенного идентификатором process ID с помощью параметра --process. Эксплуатация данной уязвимости позволяет локальному пользователю обойти авторизацию в PolicyKit и повысить уровень своих привилегий.
(CVE-2013-4288)
Примечание: Для обеспечения корректной проверки авторизации процесса необходимо настроить использование аргументов pid,pid-start-time и uid для параметра --process, используемого приложениями, которые вызывают утилиту pkcheck.
-
Для устранения уязвимостей, всем пользователям polkit необходимо обновить систему, используя данные пакеты обновлений с бэкпортироваными исправлениями. Для того чтобы обновления вступили в силу, необходимо перезагрузить систему.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1270.html
Источник: CVE
Наименование: CVE-2013-4288
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4288
Источник: CVE
Наименование: CVE-2013-4288
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4288