S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 janvier 2022
N° CERTFR-2022-AVI-086
Affaire suivie par: CERT-FR
le 27 janvier 2022

Avis du CERT-FR

Objet: Vulnérabilité dans pkexec de PolicyKit sur SUSE

Gestion du document

Référence CERTFR-2022-AVI-086
Titre Vulnérabilité dans pkexec de PolicyKit sur SUSE
Date de la première version 27 janvier 2022
Date de la dernière version 27 janvier 2022
Source(s) Bulletin de sécurité SUSE du 25 janvier 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Élévation de privilèges

Systèmes affectés

  • HPE Helion Openstack versions 8 sans le correctif HPE-Helion-OpenStack-8-2022-189
  • SUSE CaaS Platform versions 4.0 sans le correctif SUSE-SUSE-CAASP-4.0-2022-191
  • SUSE Enterprise Storage versions 6 sans le correctif SUSE-Storage-6-2022-191
  • SUSE Enterprise Storage versions 7 sans le correctif SUSE-Storage-7-2022-190
  • SUSE Linux Enterprise High Performance Computing versions 15 SP1-ESPOS sans le correctif SUSE-SLE-Product-HPC-15-SP1-ESPOS-2022-191
  • SUSE Linux Enterprise High Performance Computing versions 15 SP1-LTSS sans le correctif SUSE-SLE-Product-HPC-15-SP1-LTSS-2022-191
  • SUSE Linux Enterprise High Performance Computing versions 15 SP2-ESPOS sans le correctif SUSE-SLE-Product-HPC-15-SP2-ESPOS-2022-190
  • SUSE Linux Enterprise High Performance Computing versions 15 SP2-LTSS sans le correctif SUSE-SLE-Product-HPC-15-SP2-LTSS-2022-190
  • SUSE Linux Enterprise High Performance Computing versions 15-ESPOS sans le correctif SUSE-SLE-Product-HPC-15-2022-191
  • SUSE Linux Enterprise High Performance Computing versions 15-LTSS sans le correctif SUSE-SLE-Product-HPC-15-2022-191
  • SUSE Linux Enterprise Micro versions 5.0 sans le correctif SUSE-SUSE-MicroOS-5.0-2022-190
  • SUSE Linux Enterprise Micro versions 5.1 sans le correctif SUSE-SUSE-MicroOS-5.1-2022-190
  • SUSE Linux Enterprise Module for Basesystem versions 15 SP3 sans le correctif SUSE-SLE-Module-Basesystem-15-SP3-2022-190
  • SUSE Linux Enterprise Server versions 12 SP2-BCL sans le correctif SUSE-SLE-SERVER-12-SP2-BCL-2022-189
  • SUSE Linux Enterprise Server versions 12 SP3-BCL sans le correctif SUSE-SLE-SERVER-12-SP3-BCL-2022-189
  • SUSE Linux Enterprise Server versions 12 SP3-ESPOS sans le correctif SUSE-SLE-SERVER-12-SP3-ESPOS-2022-189
  • SUSE Linux Enterprise Server versions 12 SP3-LTSS sans le correctif SUSE-SLE-SERVER-12-SP3-2022-189
  • SUSE Linux Enterprise Server versions 12 SP4-ESPOS sans le correctif SUSE-SLE-SERVER-12-SP4-ESPOS-2022-189
  • SUSE Linux Enterprise Server versions 12 SP4-LTSS sans le correctif SUSE-SLE-SERVER-12-SP4-LTSS-2022-189
  • SUSE Linux Enterprise Server versions 12 SP5 sans le correctif SUSE-SLE-SERVER-12-SP5-2022-189
  • SUSE Linux Enterprise Server for SAP Applications versions 12 SP5 sans le correctif SUSE-SLE-SERVER-12-SP5-2022-189
  • SUSE Linux Enterprise Server versions 15 SP1-BCL sans le correctif SUSE-SLE-Product-SLES-15-SP1-BCL-2022-191
  • SUSE Linux Enterprise Server versions 15 SP1-LTSS sans le correctif SUSE-SLE-Product-SLES-15-SP1-LTSS-2022-191
  • SUSE Linux Enterprise Server versions 15 SP2-BCL sans le correctif SUSE-SLE-Product-SLES-15-SP2-BCL-2022-190
  • SUSE Linux Enterprise Server versions 15 SP2-LTSS sans le correctif SUSE-SLE-Product-SLES-15-SP2-LTSS-2022-190
  • SUSE Linux Enterprise Server versions 15-LTSS sans le correctif SUSE-SLE-Product-SLES-15-2022-191
  • SUSE Linux Enterprise Server for SAP Applications versions 12 SP3 sans le correctif SUSE-SLE-SAP-12-SP3-2022-189
  • SUSE Linux Enterprise Server for SAP Applications versions 12 SP4 sans le correctif SUSE-SLE-SAP-12-SP4-2022-189
  • SUSE Linux Enterprise Server for SAP Applications versions 15 SP1 sans le correctif SUSE-SLE-Product-SLES_SAP-15-SP1-2022-191
  • SUSE Linux Enterprise Server for SAP Applications versions 15 SP2 sans le correctif SUSE-SLE-Product-SLES_SAP-15-SP2-2022-190
  • SUSE Linux Enterprise Server for SAP Applications versions 15 sans le correctif SUSE-SLE-Product-SLES_SAP-15-2022-191
  • SUSE Linux Enterprise Software Development Kit versions 12 SP5 sans le correctif SUSE-SLE-SDK-12-SP5-2022-189
  • SUSE Linux Enterprise Workstation Extension versions 12 SP5 sans le correctif SUSE-SLE-WE-12-SP5-2022-189
  • SUSE Manager Proxy versions 4.1 sans le correctif SUSE-SLE-Product-SUSE-Manager-Proxy-4.1-2022-190
  • SUSE Manager Retail Branch Server versions 4.1 sans le correctif SUSE-SLE-Product-SUSE-Manager-Retail-Branch-Server-4.1-2022-190
  • SUSE Manager Server versions 4.1 sans le correctif SUSE-SLE-Product-SUSE-Manager-Server-4.1-2022-190
  • SUSE OpenStack Cloud versions 8 sans le correctif SUSE-OpenStack-Cloud-8-2022-189
  • SUSE OpenStack Cloud versions 9 sans le correctif SUSE-OpenStack-Cloud-9-2022-189
  • SUSE OpenStack Cloud Crowbar versions 8 sans le correctif SUSE-OpenStack-Cloud-Crowbar-8-2022-189
  • SUSE OpenStack Cloud Crowbar versions 9 sans le correctif SUSE-OpenStack-Cloud-Crowbar-9-2022-189
  • openSUSE Leap versions 15.3 sans le correctif openSUSE-SLE-15.3-2022-190

Résumé

Une vulnérabilité a été découverte dans pkexec de PolicyKit sur SUSE. Elle permet à un attaquant de provoquer une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 janvier 2022
    Version initiale