Matthias Gerstner iz SUSE sigurnosnog tima revidirao je uslužni program Please, koji se razvija kao sigurnija alternativa naredbi sudo, napisan je u Rustu i podržava regularne izraze. Uslužni program dostupan je u repozitorijima. Debian Testiranje i Ubuntu 21.04. travnja u rust-pleaser paketu. Tijekom revizije identificirana je skupina ranjivosti (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) koje dovode do rušenja sustava i ne isključuju mogućnost stvaranja exploita za eskalaciju privilegija u sustavu.
Ranjivosti su ispravljene u Please 0.4 grani (ažuriranja paketa su već predložena za Ubuntu и Debian). Pojedinosti o prirodi ranjivosti još nisu objavljene - dostupna je samo jedna opća zakrpa i kratko objašnjenje koje su sigurnosne preporuke primijenjene.
Na primjer, spominje se prebacivanje na korištenje fd prilikom izvođenja chmod i chown naredbi, dijeljenje poziva do_environment, korištenje poziva seteuid/setguid, korištenje zastavice O_NOFOLLOW za onemogućavanje praćenja simboličkih veza, ograničavanje direktorija na određeni raspon vrijednosti, korištenje slučajnih znakova u privremenim nazivima datoteka i postavljanje ograničenja veličine datoteke postavki.
Zanimljivo je da se nakon pripreme zakrpa ispostavilo da nakon instalacije paketa zastavica setuid više nije postavljena na izvršne datoteke /usr/bin/please i /usr/bin/pleaseedit, što je zahtijevalo usvajanje još jedne zakrpe kojom se onemogućuje postavka "Rules-Requires-Root: no".
Izvor: opennet.ru
