Matthias Gerstner från SUSE Security Team granskade verktyget Please, som utvecklas som ett säkrare alternativ till sudo, skrivet i Rust och med stöd för reguljära uttryck. Verktyget finns tillgängligt i repositorierna. Debian Testning och Ubuntu 21.04 april i rust-pleaser-paketet. Under granskningen identifierades en grupp sårbarheter (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) som ledde till en krasch och utesluter inte möjligheten att skapa exploateringar för att eskalera privilegier i systemet.
Sårbarheterna har åtgärdats i Please 0.4-grenen (paketuppdateringar har redan föreslagits för Ubuntu и DebianDetaljer om sårbarheternas natur har ännu inte släppts – endast en generell patch och en kort förklaring av vilka säkerhetsrekommendationer som har tillämpats finns tillgängliga.
Till exempel nämns att byta till att använda fd när man utför chmod och chown, dela do_environment-anropet, använda seteuid/setguid-anrop, använda O_NOFOLLOW-flaggan för att inaktivera följande symboliska länkar, begränsa kataloger till ett visst värdeintervall, använda slumpmässiga tecken i temporära filnamn och sätta en gräns för storleken på inställningsfilen.
Intressant nog visade det sig, efter att patcharna förberetts, att setuid-flaggan inte längre var satt på de körbara filerna /usr/bin/please och /usr/bin/pleaseedit efter installationen av paketet, vilket krävde att ytterligare en patch implementerades som inaktiverade inställningen "Rules-Requires-Root: no".
Källa: opennet.ru
