各校园网用户：

一、概要
    近日，有安全团队披露了 Polkit 中的 pkexec 组件存在的本地权限提升漏洞（CVE-2021-4034），Polkit 默认安装在各个主要的 Linux 发行版本上，易受该漏洞影响的 pkexec 组件无法正确处理调用参数，并会尝试将环境变量作为命令执行。攻击者可以通过修改环境变量，从而诱导 pkexec 执行任意代码，利用成功可导致非特权用户获得管理员权限。
二、威胁级别
    威胁级别：【严重】
三、漏洞影响范围
    由于该组件为系统预装工具，目前主流Linux版本均受影响。
四、修复建议
    目前各Linux发行版官方均已给出安全补丁，建议用户尽快升级至安全版本。
    若系统没有可用的补丁，可通过将pkexec中的SUID-bit删除进行临时规避，命令如：# chmod 0755 /usr/bin/pkexec
    注：修复漏洞前请将资料备份，并进行充分测试。

联系人：李振建 0431-85168327-8008

大数据和网络管理中心

2022年3月10日