Я понимаю, что Discourse напрямую не вызывает pkexec, но он присутствует в базовом образе с правами setuid root. По крайней мере, вчера, когда я проверял, казалось, что это всё ещё уязвимая версия. Для многоуровневой защиты целесообразно обновить базовый образ для устранения уязвимости CVE-2021-4034: либо обновив ПО, либо удалив polkit, либо удалив pkexec, либо сняв бит setuid с pkexec.
Мое решение заключалось в добавлении
- exec: chmod 755 /usr/bin/pkexec
в блок пользовательских команд в YAML-файлах определения контейнера.
Если я ошибаюсь и уязвимость CVE-2021-4034 уже устранена, прошу прощения, сообщите об этом, и следующий человек, который будет искать polkit, pkexec или CVE-2021-4034, найдёт этот пост. 
