Matthias Gerstner iz varnostne ekipe SUSE je pregledal pripomoček Please, ki se razvija kot varnejša alternativa ukazu sudo, je napisan v Rustu in podpira regularne izraze. Pripomoček je na voljo v repozitorijih. Debian Testiranje in Ubuntu 21.04. aprila v paketu rust-pleaser. Med revizijo je bila ugotovljena skupina ranljivosti (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155), ki vodijo do sesutja in ne izključujejo možnosti ustvarjanja izkoriščanj za stopnjevanje privilegijev v sistemu.
Ranljivosti so bile odpravljene v veji Please 0.4 (posodobitve paketov so že bile predlagane za Ubuntu и Debian). Podrobnosti o naravi ranljivosti še niso bile objavljene – na voljo sta le en splošni popravek in kratka razlaga, katera varnostna priporočila so bila uporabljena.
Primeri vključujejo preklop na fd pri izvajanju chmod in chown, razdelitev klica do_environment, omogočanje klicev seteuid/setguid, uporabo zastavice O_NOFOLLOW za onemogočanje naslednjih simbolnih povezav, omejevanje imenikov na določen obseg vrednosti, uporabo naključnih znakov v imenih začasnih datotek in nastavitev omejitev velikosti datoteke z nastavitvami.
Zanimivo, po pripravi popravkov se je izkazalo, da po namestitvi paketa na izvršljivi datoteki /usr/bin/please in /usr/bin/pleaseedit zastavica setuid ni bila več nastavljena, kar je zahtevalo sprejetje drugega popravka, ki onemogoča nastavitev “Rules-Requires-Root: no” "
Vir: opennet.ru
