PolicyKit において環境変数での境界外メモリ書き込みの脆弱性により管理者権限で任意のコードが実行されてしまう脆弱性（Scan Tech Report）

◆概要
　2022 年 1 月に、OS の権限管理ツールである PolicyKit に管理者権限の奪取につながる脆弱性が存在することが公開されています。攻撃者に脆弱性を悪用されてしまった場合は、管理者権限を奪取されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
　PolicyKit は Ubuntu をはじめとする主要な Linux OS にデフォルトでインストールされている可能性が高いソフトウェアです。元々は UNIX 系 OS のツールであるため、UNIX 系の OS にもデフォルトで PolicyKit がインストールされている可能性が高いと考えられます。脆弱性の悪用が容易であり影響を受ける可能性が高いため、Linux OS を使用している場合は、脆弱性情報を確認してソフトウェアアップデートを実施しましょう。

◆深刻度(CVSS)
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-4034&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST


◆影響を受けるソフトウェア
　バージョン 0.116 及びそれよりも古いバージョンの PolicyKit が当該脆弱性の影響を受けると報告されています。バージョン番号が当該脆弱性の影響を受けるものであっても、OS ベンダによって修正されたバージョンである可能性があるため、使用している Linux OS のベンダの公式情報を確認して対策してください。


◆解説
　UNIX 系および Linux で権限を管理するための開発ツールである PolicyKit に、権限昇格につながる検証不備の脆弱性が報告されています。