Alerta: una falla de Linux de 7 años permite que los atacantes lo hagan todo

Los problemas de seguridad en las distribuciones GNU/Linux no son muy comunes. Sin embargo, cuando se detecta una vulnerabilidad, normalmente afecta a varias distribuciones.

Una falla en el componente polkit, que existe desde hace más de siete años, permite el acceso completo a los atacantes. El problema tiene solución.

Alerta: una falla de Linux de 7 años permite que los atacantes lo hagan todo


Kevin Backhouse, experto en seguridad de GitHub Security Lab, descubrió recientemente que el componente polkit (anteriormente llamado PolicyKit) tiene una falla crítica. Este componente del sistema es el encargado de controlar los privilegios en el sistema operativo, con respecto a los procesos.

En la práctica, cuando se ejecuta el comando pk (polkit) y posteriormente se aborta en medio de la solicitud, se genera un error. Sin embargo, en lugar de que el polkit rechace la solicitud, está autorizado al considerar que la solicitud se origina en un proceso raíz. Polkit es un servicio del sistema que funciona de forma idéntica a sudo. Este servicio es utilizado por systemd.

Alerta: una falla de Linux de 7 años permite que los atacantes lo hagan todo

El analista también considera y advierte que “la mayor amenaza de esta vulnerabilidad está a nivel de confidencialidad e integridad de los datos, así como de disponibilidad del sistema”.

Glitch de Linux a nivel polkit…

Según la explicación, la comunicación entre el componente polkit y dbus-daemon ocurre en diferentes rutas de código. Sin embargo, sólo uno de ellos es susceptible de fallar. Esto convierte la vulnerabilidad en algo complejo de resolver.

Mira cómo funciona…

El error se identificó como CVE-2021-3560 y la solución es verificar si su distribución de Linux tiene la versión polkit 0.113 (o superior). Distribuciones como RHEL 8 y Ubuntu 20.04 tienen este problema. Vea si su sistema está en la lista aquí y aplique la corrección correspondiente.

Publicaciones relacionadas

Botón volver arriba