Portál AbcLinuxu, 9. května 2025 20:57

Bezpečnostní chyba CVE-2021-3560 v toolkitu polkit

V příspěvku na blogu GitHubu je podrobně rozebrána bezpečností chyba CVE-2021-3560 v toolkitu polkit (Wikipedie) zneužitelná k lokální eskalaci práv. Videoukázka na YouTube. Chyba byla do upstreamu commitnuta před 7 lety a v upstreamu ve verzi 0.119 je již opravena.

11.6.2021 07:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

11.6.2021 10:26 _
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2021-3560 v toolkitu polkit
Odpovědět | Sbalit | Link | Blokovat | Admin
Ruční správa paměti a odchytávání chyb jsou v céčku peklo. Proč to nepsali aspoň v C++? Počítám, že to stejně kompilují pomocí GCC nebo CLangu, které oba C++ umí, takže reálně by tu žádná nová závislost nevznikla. A na rozdíl od D/Rust/Go/... se nikdo nemůže vymlouvat, že je to příliš nové a nezralé.

Ta snaha psát software v jednoduchém jazyce (C) je dost stupidní - jazyk je sice jednoduchý, ale složitý pak musí být kód aplikace, což vede k chybám.

Jinak, z polkitu jsem měl vždycky nepříjemný pocit, že obchází klasická práva a mechanismy zabezpečení... tak teď se moje obavy potvrdily.
11.6.2021 15:30 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2021-3560 v toolkitu polkit
To jsou všechny detaily, protože k běhu potřebuje interpret javascriptu.

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.