moreNOTEオンプレミス版をお使いのお客様へ

Red Hat Enterprise Linux (RHEL) や CentOS といった OS に含まれる、
polkit に新たな脆弱性が発見されました。

ご利用の皆様におかれましては、対策を実施されることを推奨させていただきます。

概要

polkit の pkexec ユーティリティーで、ローカルの権限昇格の脆弱性が見つかりました。

この攻撃が実行されると、対象となるマシン上で、権限のないユーザーに管理権限を与え、
ローカルでの権限昇格を引き起こすことができます。

詳細は下記のリンク先をご参照ください。

• polkit の pkexec での、ローカル権限昇格の脆弱性 (CVE-2021-4034)
  　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034
  　https://access.redhat.com/security/cve/CVE-2021-4034

対策手順

polkit パッケージをアップデートします。

▼ インターネットに接続できない場合

➊ ご利用中の OS に対応する以下のパッケージをダウンロードし、
　polkit パッケージをアップデートしたいホストへ転送します。

• RHEL 7 用
  polkit-0.112-26.el7_9.1.x86_64.rpm
  SHA-256: 7f4cd400e1cf20c30290641befa5a900fe425070e9573866f242f9acc3bda048
  https://access.redhat.com/errata/RHSA-2022:0274

• RHEL 8 用
  polkit-0.115-13.el8_5.1.x86_64.rpm
  SHA-256: c2947d012b57f889aec6f4abf42bfc3e51b90fb01f7bfb20fc979c0be1b7cd9c
  https://access.redhat.com/errata/RHSA-2022:0267

➋ polkit パッケージをアップデートしたいホストの端末を起動し、以下のコマンドを実行します。

1. polkit パッケージをアップデート
   yum localinstall <上記でダウンロード>

2. アップデート結果を確認
   rpm -qa |grep polkit

-> 以下のバージョンがインストールされていれば成功です。
　RHEL 7 / CentOS 7 … polkit-0.112-26.el7_9.1
　RHEL 8 / CentOS 8 … polkit-0.115-13.el8_5.1

▼ インターネット経由でアップデートする場合

➊ polkit パッケージをアップデートしたいホストの端末を起動し、以下のコマンドを実行します。

1. polkit パッケージをアップデート
   yum update polkit

2. アップデート結果を確認
   yum info polkit

-> 以下のバージョンがインストールされていれば成功です。
　RHEL 7 / CentOS 7 … polkit-0.112-26.el7_9.1
　RHEL 8 / CentOS 8 … polkit-0.115-13.el8_5.1

以上、今後とも何卒よろしくお願いいたします。