S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 janvier 2022
N° CERTFR-2022-AVI-085
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans pkexec de PolicyKit sur Debian

Gestion du document

Référence CERTFR-2022-AVI-085
Titre Vulnérabilité dans pkexec de PolicyKit sur Debian
Date de la première version27 janvier 2022
Date de la dernière version27 janvier 2022
Source(s) Bulletin de sécurité Debian dsa-5059 du 25 janvier 2022
Information Debian sur le paquet policykit-1 du 27 janvier 2022
Suivi sécurité Debian CVE-2021-4034 du 27 janvier 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • Debian bullseye (security) versions 11 sans le correctif 0.105-31+deb11u1
  • Debian buster (security) versions 10 sans le correctif 0.105-25+deb10u1
  • Debain stretch (security) versions 9 sans le correctif 0.105-18+deb9u2
  • Debian sid version unstable sans le correctif 0.105-31.1

L'éditeur ne propose pas de correctif pour la version Debian 12 bookworm.

Résumé

Une vulnérabilité a été découverte dans pkexec de PolicyKit sur Debian. Elle permet à un attaquant de provoquer une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 janvier 2022
    Version initiale