Quando um projeto compartilha um artigo em uma conta oficial e não é de seu próprio blog, algo acontece. E não, não foi para pegar no peito, mas para informar a comunidade. Isto compartilhado do Fedora fala sobre um bug chamado PwnKitName, e afeta várias das distribuições Linux mais usadas. O Fedora está na lista, que muitos consideram o melhor exemplo quando queremos falar sobre uma distro com o GNOME, mas também duas outras que dão um pouco mais de coceira.
Não vamos entrar em qual opção é melhor, mas Debian e Ubuntu também estão entre os afetados nos permite afirmar que a maioria dos usuários de Linux estaria exposta ao PwnKit. Existem muitas distribuições baseadas no Debian, e muitas outras que já fazem isso no Ubuntu, como Linux Mint. A lista daqueles diretamente mencionados seria fechada pelo CentOS e Red Hat, mas o resto de nós não deve parar de se preocupar.
PwnKit expõe a maioria dos usuários do Linux
A vulnerabilidade é identificada como CVE-2021-4034 (clique aqui informações da Canonical) e está no componente pkexec do Polkit, que é a configuração padrão para a maioria das distribuições Linux. Embora já exista há mais de uma década, foi lançado ontem, 25 de janeiro, e o patch está chegando para quem ainda não o recebeu. O pior é o que o usuário malicioso pode fazer graças ao PwnKit: obter privilégios de superusuário ou root.
Ubuntu e Red Hat já lançaram um patch para corrigir a vulnerabilidade nas versões mais recentes, e o restante das distribuições mais populares deve fazê-lo em breve. Considerando que patches desse tipo são pequenas atualizações, também é é possível que nossa distribuição Linux já tenha corrigido sem que percebamos, mas o importante aqui é lembrar de algo que devemos levar em consideração: vale a pena ter qualquer sistema operacional atualizado e aplicar atualizações de segurança acima de tudo.