Kritische Sicherheitslücke in "pkexec" gefixt

Am 25.01.2022 um 18:57 Uhr wurde bekannt, dass eine kritische Sicherheitslücke in pkexec (Paket policykit-1) existiert. Wir haben umgehend nach Bekanntwerden umfassende Sicherheitsmaßnahmen auf allen betroffenen Clustern ergriffen und die Schwachstelle am 26.01.2022 um 0:48 Uhr erfolgreich gefixt!

Zum Hintergrund

pkexec ist ein sudo-ähnliches SUID-root-Programm, das standardmäßig auf jeder größeren Linux-Distribution installiert ist. Bei entsprechender Konfiguration und dem richtigen Kommando durch einen autorisierten Benutzer öffnet pkexec einen grafischen Dialog und erfragt das Root-Passwort.

Die entdeckte Schwachstelle mit der Bezeichnung CVE-2021-4034 kann jedoch auch von lokalen Nutzern ausgenutzt werden, um vollständige Root-Rechte zu erlangen. Weiterführende Informationen zur Sicherheitslücke finden Sie hier.

Welche Cluster waren betroffen?

Bei maxcluster waren alle Cluster unter Ubuntu 20.04 sowie vereinzelte Cluster unter Ubuntu 18.04 und Debian 8 betroffen.

Welche Maßnahmen wurden ergriffen?

Unmittelbar nach Bekanntwerden der Sicherheitslücke haben unsere Service-Mitarbeiterinnen und -Mitarbeiter mit der Fehleranalyse und -behebung auf unseren Clustern begonnen. Auf den betroffenen Clustern unter Ubuntu 20.04 sowie 18.04 haben wir in der Nacht ein Update des Pakets policy-kit 1 auf die Version "0.105-26ubuntu1.2" eingespielt. Da für Debian 8 kein entsprechender Patch vorhanden ist, wurde das Setuid-Bit von /usr/bin/pkexec auf den betroffenen Clustern unter Debian 8 entfernt. Alle erforderlichen Patches auf den betroffenen Clustern wurden am 26.01.2022 um 0:48 Uhr abschließend installiert.