Matthias Gerstner nan Ekip Sekirite SUSE a te fè yon odit pou zouti Please la, k ap devlope kòm yon altènatif ki pi an sekirite pase sudo, ekri nan Rust epi ki sipòte ekspresyon regilye. Ou ka jwenn zouti a nan depo yo. Debian Tès ak Ubuntu 21.04 avril nan pake rust-pleaser la. Pandan odit la, yo te idantifye yon gwoup vilnerabilite (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) ki lakòz yon aksidan epi ki pa eskli posiblite pou kreye eksplwa pou ogmante privilèj nan sistèm nan.
Yo korije vilnerabilite yo nan branch Please 0.4 la (yo deja pwopoze mizajou pake pou Ubuntu и Debian). Yo poko pibliye detay sou nati vilnerabilite yoâse sèlman yon patch jeneral ak yon ti eksplikasyon sou rekòmandasyon sekirite yo te aplike ki disponib.
Egzanp yo enkli chanje nan fd lè w ap fè chmod ak chown, divize apèl do_environment, pèmèt apèl seteuid/setguid, sèvi ak drapo O_NOFOLLOW pou enfim lyen senbolik sa yo, limite anyè a yon sèten seri valè, itilize karaktè o aza nan non dosye tanporè, ak anviwònman. yon limit sou gwosè dosye paramèt.
Enteresan, apre yo fin prepare kòreksyon yo, li te vin wè ke apre enstale pake a sou dosye yo ègzèkutabl /usr/bin/please ak /usr/bin/pleaseedit, drapo setuid la pa te mete ankò, ki te egzije adopsyon yon lòt patch ki enfim. "Règ-Mande-Rasin: non" anviwònman "
Sous: opennet.ru
