Rinn Matthias Gerstner bhon Sgioba Tèarainteachd SUSE sgrùdadh air a’ ghoireas Please, a thathas a’ leasachadh mar roghainn eile nas tèarainte an àite sudo, sgrìobhte ann an Rust agus a’ toirt taic do abairtean cunbhalach. Tha an goireas ri fhaighinn anns na stòran-dàta. Debian Deuchainn agus Ubuntu 21.04 в пакете rust-pleaser. В ходе аудита была выявлена группа уязвимостей (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155), приводящих к краху и не исключающих возможность создания эксплоитов для повышению привилегий в системе.
Уязвимости устранены в ветке Please 0.4 (обновления пакетов уже предложены для Ubuntu и Debian). Подробности о характере уязвимостей пока не сообщаются — доступен лишь один общий патч и краткое пояснение, какие из рекомендаций по устранению проблем с безопасностью применены.
Tha eisimpleirean a’ toirt a-steach atharrachadh gu fd nuair a bhios tu a’ coileanadh chmod agus chown, a’ sgoltadh a’ ghairm do_environment, a’ comasachadh fiosan seteuid/setguid, a’ cleachdadh a’ bhratach O_NOFOLLOW gus na symlinks a leanas a chur à comas, a’ cuingealachadh chlàran gu raon sònraichte de luachan, a’ cleachdadh charactaran air thuaiream ann an ainmean faidhle sealach, agus a’ suidheachadh cuingealachadh air meud faidhle roghainnean.
Gu inntinneach, às deidh na fuasglaidhean ullachadh, thionndaidh e a-mach às deidh dhut a’ phacaid a chuir a-steach air na faidhlichean so-ghnìomhaichte / usr / bin / mas e do thoil e agus / usr / bin / pleaseedit, nach deach a ’bhratach setuid a shuidheachadh tuilleadh, a dh’ fheumadh gabhail ri bad eile a chuir à comas an suidheachadh “Riaghailtean-Riatanasan-Root: chan eil”
Source: fosgailtenet.ru
