Após a desagradável vulnerabilidade de escalonamento de privilégios locais que foi divulgada no mês passado para o pkexec do Polkit, os desenvolvedores do Fedora esperam tornar o pkexec opcional ainda este ano com a chegada do Fedora Linux 37.
Uma nova proposta de mudança foi enviada na semana passada para separar o Pkexec do pacote Polkit e também mover polkit-pkla-compat em seu próprio sub-pacote também. Assim, para usuários de desktop do Fedora 37 que não precisam do Pkexec, isso pode ser evitado.
Divida
pkexeco polkit e torne-o um subpacote recomendado apenas. Da mesma forma, faça do pacote polkit-pkla-compat um pacote recomendado também. Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los.
Essa mudança ocorre após a divulgação do PwnKit de janeiro para o Pkexec, permitindo o escalonamento de privilégios locais. O problema pode ser facilmente explorado e permite que usuários sem privilégios obtenham privilégios totais de root.
Fedora 37 deve tornar o pkexec opcional para dar maior segurança
O Pkexec pode ser usado para executar um comando como outro usuário. No entanto, para programas que precisam de acesso root, existem maneiras melhores de lidar com isso, em vez de executar o programa inteiro como root.
A proposta de mudança do Fedora tornaria o pkexec um sub-pacote opcional do Polkit. Atualmente, o Pkexec não é necessário para a funcionalidade correta na maioria dos servidores e desktops. Embora existam patches desde janeiro para o Pkexec, uma vez que é menos necessário nos dias de hoje, a esperança é simplesmente evitá-lo sempre que possível daqui para frente.
A pkexec é uma ferramenta opcional que não é mais necessária para o funcionamento correto da maioria dos ambientes de servidor e desktop. Este também é um binário SetUID.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
O polkit-pkla-compat pacote é um pacote de compatibilidade herdado que não é mais mantido.
Essa alteração será separada, pkexec do pacote polkit e o tornará um subpacote somente recomendado. Da mesma forma, também tornará o pacote polkit-pkla-compat apenas recomendado.
Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los. Os usuários que ainda precisam desses recursos poderão instalá-los facilmente.
Se ficarmos confiantes de que não quebraremos a experiência padrão do usuário, podemos tornar esses pacotes totalmente opcionais para que eles não sejam mais instalados por padrão.
Veja PR em andamento: https://src.fedoraproject.org/rpms/polkit/pull-request/2
Entre os benefícios, os desenvolvedores destacam ainda que: “Menos binários SetUID e menos software legado instalado por padrão. Movendo-se para uma área de trabalho mais segura por padrão”.
