[セキュリティ情報] PowerChute Network Shutdown for Virtualization PolKitの脆弱性について (2023年12月公開)

このページでは、2022年1月発表のPolKitのメモリ破損の脆弱性 (CVE-2021-4034)について、
PowerChute Network Shutdownの対処方法をご案内します。


【概要】
CVE-2021-4034
割り当てられたpolKitのpkexecに内在するメモリ破損につながる脆弱性「PwnKit」において、
PwnKitが悪用されると、権限の低いユーザがホスト上でroot権限を取得できる可能性があります。

PowerChute Network Shutdown for Virtualization v4.3.1以前の
仮想アプライアンスのベースOSでは対象のバージョンのCentOSを使用していることから本脆弱性の影響が考えられます。


【対象製品】
PowerChute Network Shutdown for Virtualization v3.1 ~ v4.3.1 ^*1

*1 OEMバージョン, OEMアップデートバージョン含む
APC純正のPowerChute Network Shutdownではいずれものバージョンも弊社でのサポートは終了しております


【対処方法】
CentOSのミラーサイトよりrpmパッケージをダウンロードします。
http://mirror.centos.org/centos/7/updates/x86_64/Packages/

対象パッケージ：polkit-0.112-26.el7_9.1.x86_64.rpm (polkit の最新バージョンをダウンロードしてください)


[手順]
1. PowerChuteアプライアンスへの管理者権限でログインします
2. 使用中のpolkit の版数を確認します
rpm -qa | grep polkit
3. 入手したバッケージ polkit-0.112-26.el7_9.1.x86_64.rpm をカレントフォルダに格納します
(最新バージョンを適用してください。ファイル名の数値は入手されたバージョンにより異なります)
4. パッケージを更新します
yum localinstall ./polkit-0.112-26.el7_9.1.x86_64.rpm
5. 適用したバッケージが反映されていることを確認します
rpm -qa | grep polkit
6. 格納したバッケージ polkit-0.112-26.el7_9.1.x86_64.rpm を削除してください
7. PowerChuteアプライアンスを再起動してください

公開先:APC 日本