使用Linux系統(tǒng)的用戶需要注意：CVE-2021-4034 polkit pkexec 本地提權(quán)漏洞，若不及時(shí)修復(fù)，可能有被入侵的風(fēng)險(xiǎn)，下面小編就給大家介紹下這個(gè)漏洞的修復(fù)方法。

案例1：最近在云服務(wù)器上安裝了CentOS8.5，安裝BT面板之后，提示高危安全風(fēng)險(xiǎn)：CVE-2021-4034 polkit pkexec 本地提權(quán)漏洞，風(fēng)險(xiǎn)描述：請更新polkit；解決方案：1、更新polkit 組件。該漏洞EXP已公開傳播，漏洞利用成本極低，建議您立即關(guān)注并修復(fù)。

解決方法：

1、無法升級軟件修復(fù)包的，可使用以下命令刪除pkexec的SUID-bit權(quán)限來規(guī)避漏洞風(fēng)險(xiǎn)：

chmod 0755 /usr/bin/pkexec

示例：

# ll /usr/bin/pkexec
-rwsr-xr-x 1 root root  /usr/bin/pkexec
# chmod 0755 /usr/bin/pkexec
# ll /usr/bin/pkexec
-rwxr-xr-x 1 root root  /usr/bin/pkexec

執(zhí)行前權(quán)限一般為-rwsr-xr-x ，刪除SUID-bit權(quán)限后一般為-rwxr-xr-x

2、CentOS 7的用戶可通過yum update polkit升級修復(fù)（云安全中心Linux軟件漏洞已支持檢測修復(fù)），Centos 5、6、8官方已終止生命周期 (EOL)維護(hù)，建議停止使用；

3、RedHat用戶建議聯(lián)系紅帽官方獲取安全修復(fù)源后執(zhí)行yum update polkit升級修復(fù)（云安全中心Linux軟件漏洞已支持檢測修復(fù)）；

4、Alibaba Cloud Linux的用戶可通過yum update polkit升級修復(fù)（云安全中心Linux軟件漏洞已支持檢測修復(fù)）；

5、Anolis OS（龍蜥）的用戶可通過yum update polkit升級修復(fù)（云安全中心Linux軟件漏洞已支持檢測修復(fù)）；

6、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用戶可通過apt update policykit-1升級修復(fù)，Ubuntu 14.04、16.04、12.04官方已終止生命周期 (EOL)維護(hù)，修復(fù)需要額外付費(fèi)購買Ubuntu ESM（擴(kuò)展安全維護(hù)）服務(wù)，建議停止使用；

7、其他Linux發(fā)行版操作系統(tǒng)OS建議聯(lián)系官方尋求軟件包修復(fù)源。

CentOS8 修復(fù)時(shí)提示：

CentOS-8 - AppStream 46 B/s | 38 B 00:00
Error: Failed to download metadata for repo 'AppStream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

錯(cuò)誤原因：

自2022年1月31日起，CentOS團(tuán)隊(duì)從官方鏡像中移除CentOS 8的所有包，但軟件包仍在官方鏡像上保留一段時(shí)間�，F(xiàn)在被轉(zhuǎn)移到https://vault.centos.org。如需繼續(xù)運(yùn)行舊CentOS 8，可以在/etc/yum.repos中更新repos.d，使用vault.centos.org代替mirror.centos.org；

sudo sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*
sudo sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*