Nanao fanaraha-maso ny fitaovana Please i Matthias Gerstner avy ao amin'ny SUSE Security Team, izay novolavolaina ho safidy azo antoka kokoa noho ny sudo, nosoratana tamin'ny Rust ary manohana ny fiteny mahazatra. Azo jerena ao amin'ny tahiry ity fitaovana ity. Debian Fitsapana sy Ubuntu 21.04 Aprily tao amin'ny fonosana rust-pleaser. Nandritra ny fanaraha-maso, dia hita fa misy vondron'olona marefo (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) izay mitarika fianjerana ary tsy manilika ny mety hisian'ny fanararaotana hampitomboana ny tombontsoa ao amin'ny rafitra.
Voavaha ireo fahalemena ao amin'ny sampana Please 0.4 (efa natolotra ho an'ny fanavaozana fonosana ny fanavaozana ny fonosana Ubuntu и DebianMbola tsy navoaka ny antsipiriany momba ny toetran'ireo fahalemena—fanamboarana ankapobeny iray sy fanazavana fohy momba ireo tolo-kevitra momba ny fiarovana izay efa nampiharina ihany no azo jerena.
Ohatra amin'izany ny fifindrana amin'ny fd rehefa manao chmod sy chown, manasaraka ny antso do_environment, mamela ny antso seteuid/setguid, mampiasa ny saina O_NOFOLLOW mba hanesorana ny symlinks manaraka, mametra ny lahatahiry amin'ny sanda maromaro, mampiasa tarehintsoratra kisendrasendra amin'ny anaran'ny rakitra vonjimaika, ary mametraka fetra amin'ny haben'ny rakitra.
Mahaliana fa rehefa avy nanomana ny fanamboarana dia hita fa taorian'ny fametrahana ny fonosana amin'ny rakitra azo tanterahana / usr / bin / azafady ary / usr / bin / azafady, tsy napetraka intsony ny saina setuid, izay nitaky ny fananganana patch hafa izay manakana. ny "Rules-Requires-Root: no" setting "
Source: opennet.ru
