Após a desagradável vulnerabilidade de escalonamento de privilégios locais que foi divulgada no mês passado para o pkexec do Polkit, os desenvolvedores do Fedora esperam tornar o pkexec opcional ainda este ano com a chegada do Fedora Linux 37.
Uma nova proposta de mudança foi enviada na semana passada para separar o Pkexec do pacote Polkit e também mover polkit-pkla-compat em seu próprio sub-pacote também. Assim, para usuários de desktop do Fedora 37 que não precisam do Pkexec, isso pode ser evitado.
Divida
pkexec
o polkit e torne-o um subpacote recomendado apenas. Da mesma forma, faça do pacote polkit-pkla-compat um pacote recomendado também. Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los.
Essa mudança ocorre após a divulgação do PwnKit de janeiro para o Pkexec, permitindo o escalonamento de privilégios locais. O problema pode ser facilmente explorado e permite que usuários sem privilégios obtenham privilégios totais de root.
Fedora 37 deve tornar o pkexec opcional para dar maior segurança
O Pkexec pode ser usado para executar um comando como outro usuário. No entanto, para programas que precisam de acesso root, existem maneiras melhores de lidar com isso, em vez de executar o programa inteiro como root.
A proposta de mudança do Fedora tornaria o pkexec um sub-pacote opcional do Polkit. Atualmente, o Pkexec não é necessário para a funcionalidade correta na maioria dos servidores e desktops. Embora existam patches desde janeiro para o Pkexec, uma vez que é menos necessário nos dias de hoje, a esperança é simplesmente evitá-lo sempre que possível daqui para frente.
A pkexec
é uma ferramenta opcional que não é mais necessária para o funcionamento correto da maioria dos ambientes de servidor e desktop. Este também é um binário SetUID.
O polkit-pkla-compat
pacote é um pacote de compatibilidade herdado que não é mais mantido.
Essa alteração será separada, pkexec
do pacote polkit e o tornará um subpacote somente recomendado. Da mesma forma, também tornará o pacote polkit-pkla-compat
apenas recomendado.
Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los. Os usuários que ainda precisam desses recursos poderão instalá-los facilmente.
Se ficarmos confiantes de que não quebraremos a experiência padrão do usuário, podemos tornar esses pacotes totalmente opcionais para que eles não sejam mais instalados por padrão.
Veja PR em andamento: https://src.fedoraproject.org/rpms/polkit/pull-request/2
Entre os benefícios, os desenvolvedores destacam ainda que: “Menos binários SetUID e menos software legado instalado por padrão. Movendo-se para uma área de trabalho mais segura por padrão”.