Je poste sous ton commentaire afin de pinguer tous les précédents mais la question est pour tout le monde : à ma connaissance, polkit est généralement une dépendance de paquets graphiques, non ? Donc il y a peu de chance de le trouver sur un serveur basique (web, cache, DB, NAS, …) ?
"installed by default on every major Linux distribution" c'est pas un peu exagéré ?
Oui… https://www.linux.org/docs/man8/polkit.html
Ça va dépendre, sur les serveurs sans X, si les paquets présents l'ont en dépendance ou pas. Mais j'aurai tendance à remplacer distribution par desktop dans leur phrase.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Les paquets binaires suivants sont compilés à partir de ce paquet source :
gir1.2-polkit-1.0
GObject introspection data for PolicyKit
libpolkit-agent-1-0
PolicyKit Authentication Agent API
libpolkit-agent-1-dev
PolicyKit Authentication Agent API - development files
libpolkit-backend-1-0
PolicyKit backend API
libpolkit-backend-1-dev
PolicyKit backend API - development files
libpolkit-gobject-1-0
PolicyKit Authorization API
libpolkit-gobject-1-dev
PolicyKit Authorization API - development files
policykit-1
framework for managing administrative policies and privileges
policykit-1-doc
documentation for PolicyKit-1
Comme dépendance inverse de libpolkit-gobject-1-0 (apt-rdepends -r), on a par exemple
ii libpolkit-gobject-1-0:amd64 0.105-20ubuntu0.18.04.5 amd64 PolicyKit Authorization API
ii accountsservice 0.6.45-1ubuntu1.3 amd64 query and manipulate user account information
ii language-selector-common 0.188.3 all Language selector for Ubuntu
ii ubuntu-standard 1.417.5 amd64 The Ubuntu standard system
ii libpolkit-agent-1-0:amd64 0.105-20ubuntu0.18.04.5 amd64 PolicyKit Authentication Agent API
ii policykit-1 0.105-20ubuntu0.18.04.5 amd64 framework for managing administrative policies and privileges
ii libpolkit-backend-1-0:amd64 0.105-20ubuntu0.18.04.5 amd64 PolicyKit backend API
Bref c'est notamment tiré par ubuntu-standard (!= ubuntu-server)
Sous Slackware, les paquets qui dépendent de polkit sont : GConf, accountsservice, gvfs, polkit-gnome, polkit-qt, udisks, udisks2, et xfce4-session.
Donc on peut très facilement s'en passer dans une installation serveur headless oui.
Et donc la majorité des machines Linux ne sont probablement pas affectées, seuls presque tous les postes de travail ou machines persos, ce qui ne fait pas la majorité, loin de là :)
# Liens supplémentaires
Posté par Benoît Sibaud (site web personnel) . Évalué à 9.
Debian https://security-tracker.debian.org/tracker/CVE-2021-4034
Ubuntu https://ubuntu.com/security/CVE-2021-4034
Red Hat https://access.redhat.com/security/cve/CVE-2021-4034
[^] # Re: Liens supplémentaires
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 3.
J’ai eu la mise à jour ce matin sous Manjaro.
[^] # Re: Liens supplémentaires
Posté par Yth (Mastodon) . Évalué à 2.
Pareil sous Slackware.
[^] # Re: Liens supplémentaires
Posté par Faya . Évalué à 4.
Je poste sous ton commentaire afin de pinguer tous les précédents mais la question est pour tout le monde : à ma connaissance, polkit est généralement une dépendance de paquets graphiques, non ? Donc il y a peu de chance de le trouver sur un serveur basique (web, cache, DB, NAS, …) ?
"installed by default on every major Linux distribution" c'est pas un peu exagéré ?
[^] # Re: Liens supplémentaires
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Oui… https://www.linux.org/docs/man8/polkit.html
Ça va dépendre, sur les serveurs sans X, si les paquets présents l'ont en dépendance ou pas. Mais j'aurai tendance à remplacer distribution par desktop dans leur phrase.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Liens supplémentaires
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
Exemple sur une Ubuntu 18.04 :
https://packages.ubuntu.com/source/bionic-updates/policykit-1
Comme dépendance inverse de libpolkit-gobject-1-0 (
apt-rdepends -r), on a par exempleBref c'est notamment tiré par
ubuntu-standard(!=ubuntu-server)[^] # Re: Liens supplémentaires
Posté par Faya . Évalué à 3.
Merci, c'est l'info que je cherchais à avoir sous Debian mais je n'ai pas l'impression que ça soit possible à partir de leur interface web. Contrairement à l'autre distribution dont je tairai le nom pour ne pas passer pour un LinuxJacky.
[^] # Re: Liens supplémentaires
Posté par cg . Évalué à 3. Dernière modification le 29 janvier 2022 à 21:31.
Sur Debian au boulot, j'avais policykit-1 installé via Nautilus sur les stations de travail. Mais il n'est pas installé sur les serveurs.
On peut dire que sur l'install "par défaut", Debian n'était pas vulnérable.
[^] # Re: Liens supplémentaires
Posté par Yth (Mastodon) . Évalué à 4.
Sous Slackware, les paquets qui dépendent de polkit sont : GConf, accountsservice, gvfs, polkit-gnome, polkit-qt, udisks, udisks2, et xfce4-session.
Donc on peut très facilement s'en passer dans une installation serveur headless oui.
Et donc la majorité des machines Linux ne sont probablement pas affectées, seuls presque tous les postes de travail ou machines persos, ce qui ne fait pas la majorité, loin de là :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.