PwnKit, un bug que da privilegios de súper usuario y afecta a la mayoría de distribuciones Linux

enero 26, 2022 , 0 Comments

PwnKit

Cuando un proyecto comparte un artículo en una cuenta oficial y no es de su propio blog, algo pasa. Y no, no ha sido para sacar pecho, sino para informar a la comunidad. Lo compartido por Fedora habla de un bug llamado PwnKit, y afecta a varias distribuciones Linux de las más usadas. En la lista está Fedora, la que muchos consideran el mejor ejemplo cuando queremos hablar de una distro con GNOME, pero también otras dos que pican un poco más.

No vamos a entrar en qué opción es mejor, pero que Debian y Ubuntu estén también entre los afectados nos permite afirmar que la mayoría de usuarios de Linux estarían expuestos ante PwnKit. Hay muchas distribuciones basadas en Debian, y muchas más que lo hacen ya en Ubuntu, como Linux Mint. La lista de afectados que se mencionan directamente la cerrarían CentOS y Red Hat, pero el resto de usuarios no debemos dejar de preocuparnos.

PwnKit expone a la mayoría de usuarios Linux

La vulnerabilidad se identifica como CVE-2021-4034 (aquí la información de Canonical) y está en el componente pkexec de Polkit, lo que está en la configuración por defecto de la mayoría de distribuciones Linux. Aunque existía desde hacía más de una década, se publicó ayer 25 de enero, y el parche llegará pronto para el que no lo haya recibido ya.  Lo peor es lo que puede hacer el usuario malintencionado gracias a PwnKit: conseguir privilegios de súper usuario o root.

Ubuntu y Red Hat ya han lanzado un parche para corregir la vulnerabilidad en las versiones más recientes, y el resto de distribuciones más populares deberían hacerlo en breve. Teniendo en cuenta que los parches de este tipo son actualizaciones pequeñas, también cabe la posibilidad de que nuestra distribución Linux ya lo haya parcheado sin que nos hayamos dado cuenta, pero lo importante aquí es volver a recordar algo que debemos tener en cuenta: merece la pena tener bien actualizado cualquier sistema operativo, y aplicar sobre todo las actualizaciones de seguridad.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.