Após a desagradável vulnerabilidade de escalonamento de privilégios locais que foi divulgada no mês passado para o pkexec do Polkit, os desenvolvedores do Fedora esperam tornar o pkexec opcional ainda este ano com a chegada do Fedora Linux 37.
Uma nova proposta de mudança foi enviada na semana passada para separar o Pkexec do pacote Polkit e também mover polkit-pkla-compat em seu próprio sub-pacote também. Assim, para usuários de desktop do Fedora 37 que não precisam do Pkexec, isso pode ser evitado.
Divida
pkexeco polkit e torne-o um subpacote recomendado apenas. Da mesma forma, faça do pacote polkit-pkla-compat um pacote recomendado também. Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los.
Essa mudança ocorre após a divulgação do PwnKit de janeiro para o Pkexec, permitindo o escalonamento de privilégios locais. O problema pode ser facilmente explorado e permite que usuários sem privilégios obtenham privilégios totais de root.
Fedora 37 deve tornar o pkexec opcional para dar maior segurança
O Pkexec pode ser usado para executar um comando como outro usuário. No entanto, para programas que precisam de acesso root, existem maneiras melhores de lidar com isso, em vez de executar o programa inteiro como root.
A proposta de mudança do Fedora tornaria o pkexec um sub-pacote opcional do Polkit. Atualmente, o Pkexec não é necessário para a funcionalidade correta na maioria dos servidores e desktops. Embora existam patches desde janeiro para o Pkexec, uma vez que é menos necessário nos dias de hoje, a esperança é simplesmente evitá-lo sempre que possível daqui para frente.
A pkexec é uma ferramenta opcional que não é mais necessária para o funcionamento correto da maioria dos ambientes de servidor e desktop. Este também é um binário SetUID.
Notícias Relacionadas
Tela expandida
Samsung amplia fornecedores de OLED para linha Galaxy com Tianma
Samsung precisará de 163,2 milhões de painéis OLED para seus smartphones em 2024, mas sua própria subsidiária fornecerá apenas 97% dessa demanda. Para completar, a empresa usará painéis de outras marcas, incluindo a Tianma, para os modelos Galaxy M e F.
Investigação antitruste
UE investiga Corning por possível abuso de mercado com Gorilla Glass
A UE iniciou uma investigação antitruste para apurar se a Corning, fabricante do Gorilla Glass, utilizou sua posição de mercado para acordos exclusivos, limitando a concorrência e elevando preços no setor de vidros para smartphones.
O polkit-pkla-compat pacote é um pacote de compatibilidade herdado que não é mais mantido.
Essa alteração será separada, pkexec do pacote polkit e o tornará um subpacote somente recomendado. Da mesma forma, também tornará o pacote polkit-pkla-compat apenas recomendado.
Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los. Os usuários que ainda precisam desses recursos poderão instalá-los facilmente.
Se ficarmos confiantes de que não quebraremos a experiência padrão do usuário, podemos tornar esses pacotes totalmente opcionais para que eles não sejam mais instalados por padrão.
Veja PR em andamento: https://src.fedoraproject.org/rpms/polkit/pull-request/2
Entre os benefícios, os desenvolvedores destacam ainda que: “Menos binários SetUID e menos software legado instalado por padrão. Movendo-se para uma área de trabalho mais segura por padrão”.
