כשפרויקט משתף מאמר בחשבון רשמי וזה לא מהבלוג שלו, קורה משהו. ולא, זה לא היה כדי לקבל חזה, אלא כדי ליידע את הקהילה. זה משותף מאת פדורה מדבר על באג שנקרא PwnKit, ומשפיע על כמה מההפצות הנפוצות ביותר של לינוקס. פדורה נמצאת ברשימה, שרבים מחשיבים אותה כדוגמה הטובה ביותר כשאנחנו רוצים לדבר על הפצה עם GNOME, אבל גם שניים אחרים שהם קצת יותר מגרדים.
אנחנו לא הולכים להיכנס לאיזו אופציה עדיפה, אבל דביאן ואובונטו גם הן בין הנפגעות מאפשר לנו לציין שרוב משתמשי לינוקס יהיו חשופים ל-PwnKit. ישנן הפצות רבות המבוססות על דביאן, ורבות נוספות שכבר עושות זאת על אובונטו, כגון לינוקס מנטה. הרשימה של אלה שהוזכרו ישירות תיסגר על ידי CentOS ו-Red Hat, אבל כולנו לא צריכים להפסיק לדאוג.
PwnKit חושפת את רוב משתמשי לינוקס
הפגיעות מזוהה כ CVE-2021-4034 (כאן מידע מקנוניקל) ו נמצא ברכיב pkexec של Polkit, שהיא הגדרת ברירת המחדל עבור רוב ההפצות של לינוקס. למרות שהוא קיים למעלה מעשור, הוא שוחרר אתמול, 25 בינואר, והתיקון מגיע בקרוב למי שעוד לא קיבל אותו. הדבר הגרוע ביותר הוא מה שהמשתמש הזדוני יכול לעשות הודות ל-PwnKit: לקבל הרשאות משתמש-על או שורש.
אובונטו ו-Red Hat כבר פרסמו תיקון לתיקון הפגיעות בגרסאות האחרונות, ושאר ההפצות הפופולריות ביותר אמורות לעשות זאת בקרוב. בהתחשב בכך שטלאים מסוג זה הם עדכונים קטנים, זה גם כן ייתכן שהפצת הלינוקס שלנו כבר תיקנה אותו מבלי שנרגיש, אבל הדבר החשוב כאן הוא לזכור משהו שעלינו לקחת בחשבון: כדאי שתהיה כל מערכת הפעלה מעודכנת, ולהחיל עדכוני אבטחה מעל הכל.