继上个月为 Polkit 的pkexec披露的令人讨厌的本地特权升级漏洞之后,Fedora 开发人员希望在今年晚些时候在 Fedora 37 中使 pkexec 成为可选。
上周提交了一份新的变更提案,将 Pkexec 从 Polkit 包中分离出来,并且还移动了polkit-pkla-compat 也放入它自己的子包中。因此对于不需要 Pkexec 的 Fedora 37 桌面用户来说,可以避免这种情况。
此举是在1 月份PwnKit 披露Pkexec 允许本地特权升级之后发生的。该问题很容易被利用,并允许非特权用户获得完全 root 权限。
Pkexec 可用于以另一个用户身份执行命令,但对于需要 root 访问权限的程序,最好有更好的方法来处理它,而不是以 root 身份运行整个程序。
Fedora 的更改提案将使 pkexec 作为 Polkit 的可选子包。如今,大多数服务器和台式机上的正确功能都不需要 Pkexec。虽然自 1 月以来对 Pkexec 有补丁,但由于这些天对它的需要较少,因此希望在可能的情况下尽可能避免它。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun131719.html