Matthias Gerstner fra SUSE Security Team har revideret Please-værktøjet, som udvikles som et mere sikkert alternativ til sudo, er skrevet i Rust og understøtter regulære udtryk. Værktøjet er tilgængeligt i arkiverne. Debian Testning og Ubuntu 21.04. april i rust-pleaser-pakken. Under revisionen blev en gruppe sårbarheder (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) identificeret, som førte til et nedbrud og ikke udelukker muligheden for at skabe exploits til at eskalere privilegier i systemet.
Sårbarhederne er blevet rettet i Please 0.4-grenen (pakkeopdateringer er allerede blevet foreslået til Ubuntu и DebianDetaljer om sårbarhedernes karakter er endnu ikke frigivet – kun én generel programrettelse og en kort forklaring af, hvilke sikkerhedsanbefalinger der er anvendt, er tilgængelige.
For eksempel nævnes det at skifte til at bruge fd, når man udfører chmod og chown, at opdele do_environment-kaldet, at bruge seteuid/setguid-kald, at bruge O_NOFOLLOW-flaget til at deaktivere følgende symbolske links, at begrænse mapper til et bestemt værdiinterval, at bruge tilfældige tegn i midlertidige filnavne og at sætte en grænse for størrelsen på indstillingsfilen.
Interessant nok viste det sig, efter at have forberedt programrettelserne, at setuid-flaget ikke længere var sat på de eksekverbare filer /usr/bin/please og /usr/bin/pleaseedit efter installation af pakken, hvilket krævede implementering af en anden programrettelse, der deaktiverede indstillingen "Rules-Requires-Root: no".
Kilde: opennet.ru
