Матыяс Герстнер (Matthias Gerstner) з SUSE Security Team правёў аўдыт утыліты Please, якая развіваецца ў якасці больш бяспечнай альтэрнатывы sudo, напісанай на мове Rust і якая падтрымлівае рэгулярныя выразы. Утыліта пастаўляецца ў рэпазітарах Debian Testing і Ubuntu 21.04 у пакеце rust-pleaser. Падчас аўдыту была выяўленая група ўразлівасцяў (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155), якія прыводзяць да краху і не выняткоўвалых магчымасць стварэння эксплоітаў для падвышэння прывілеяў у сістэме.
Уразлівасці ўхіленыя ў галінцы Please 0.4 (абнаўленні пакетаў ужо прапанаваны для Ubuntu и Debian). Падрабязнасці аб характары ўразлівасцяў пакуль не паведамляюцца - даступны толькі адзін агульны патч і кароткае тлумачэнне, якія з рэкамендацый па ўхіленні праблем з бяспекай ужытыя.
Напрыклад, згаданы пераход на выкарыстанне fd пры выкананні аперацыі chmod і chown, падзел выкліку do_environment, задзейнічанне выклікаў seteuid/setguid, ужыванне сцяга O_NOFOLLOW для адключэння прытрымлівання сімвалічным спасылкам, абмежаванне каталогаў вызначаным дыяпазонам значэнняў, выкарыстанне выпадковых знакаў у імёнах часавых файлаў.
Цікава, што пасля падрыхтоўкі выпраўленняў высветлілася, што пасля ўсталёўкі пакета на выкананыя файлы /usr/bin/please і /usr/bin/pleaseedit перастаў выстаўляцца сцяг setuid, што запатрабавала прыняцці яшчэ аднаго патча, які адключае наладу "Rules-Requires-Root: no".
Крыніца: opennet.ru
