SUSE 安全團隊的 Matthias Gerstner 對 Please 工具進行了審計。該工具是用 Rust 編寫的,支援正規表示式,旨在成為 sudo 的更安全替代方案。該工具已在軟體倉庫中提供。 Debian 測試和 Ubuntu 4 月 21 日,rust-pleaser 軟體包中發現了一組漏洞(CVE-2021-31153、CVE-2021-31154、CVE-2021-31155),這些漏洞會導致程式崩潰,並且不排除利用這些漏洞進行系統權限提升的可能性。
Please 0.4 分支中的漏洞已修復(已提出軟體包更新方案)。 Ubuntu и Debian目前尚未公佈漏洞的具體性質——僅有一個通用修補程式和一份簡要說明,解釋了已應用哪些安全建議。
範例包括在執行 chmod 和 chown 時切換到 fd、拆分 do_environment 呼叫、啟用 seteuid/setguid 呼叫、使用 O_NOFOLLOW 標誌停用以下符號連結、將目錄限制為特定範圍的值、在臨時檔案名稱中使用隨機字元以及設定設定檔案大小的限制。
有趣的是,在準備修復程式後,結果發現在可執行檔 /usr/bin/please 和 /usr/bin/pleaseedit 上安裝軟體包後,setuid 標誌不再設置,這需要採用另一個補丁來停用「規則-需要-根:否”設定“
來源: opennet.ru
