Sinuri ni Matthias Gerstner ng SUSE Security Team ang Please utility, na binubuo bilang isang mas ligtas na alternatibo sa sudo, na nakasulat sa Rust at sumusuporta sa mga regular na expression. Ang utility ay makukuha sa mga repository. Debian Pagsubok at Ubuntu Abril 21.04 sa pakete ng rust-pleaser. Sa panahon ng pag-audit, isang grupo ng mga kahinaan (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155) ang natukoy na humantong sa isang pag-crash at hindi isinasantabi ang posibilidad ng paglikha ng mga exploit para sa tumataas na mga pribilehiyo sa sistema.
Naayos na ang mga kahinaan sa sangay na Please 0.4 (ang mga pag-update ng pakete ay iminungkahi na para sa Ubuntu и Debian). Hindi pa inilalabas ang mga detalye tungkol sa uri ng mga kahinaan—isang pangkalahatang patch at maikling paliwanag lamang kung aling mga rekomendasyon sa seguridad ang inilapat.
Kasama sa mga halimbawa ang paglipat sa fd kapag gumaganap ng chmod at chown, paghahati sa do_environment na tawag, pagpapagana ng mga seteuid/setguid na tawag, paggamit ng O_NOFOLLOW na flag upang hindi paganahin ang mga sumusunod na symlink, paglilimita sa mga direktoryo sa isang tiyak na hanay ng mga halaga, paggamit ng mga random na character sa pansamantalang mga pangalan ng file, at setting isang limitasyon sa laki ng file ng mga setting.
Kapansin-pansin, pagkatapos ihanda ang mga pag-aayos, lumabas na pagkatapos i-install ang package sa mga executable na file /usr/bin/please at /usr/bin/pleaseedit, hindi na nakatakda ang setuid flag, na nangangailangan ng pag-ampon ng isa pang patch na hindi pinapagana. ang setting na "Mga Panuntunan-Nangangailangan-Root: hindi" "
Pinagmulan: opennet.ru
