Первый стабильный выпуск sudo-rs, реализации утилит sudo и su на языке Rust
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует развитию технологий для повышения защищённости интернета, опубликовала первый стабильный выпуск проекта Sudo-rs, развивающего написанные на языке Rust варианты утилит sudo и su, предназначенные для выполнения команд от имени других пользователей. Код проекта распространяется под лицензиями Apache 2.0 и MIT. Разработка Sudo-rs ведётся инженерами из компаний Ferrous Systems и Tweede Golf на средства, предоставленные Google, Cisco и Amazon Web Services. В сентябре для подтверждения качества реализации планируется провести независимый аудит кодовой базы sudo-rs.
В утилитах по возможности обеспечена совместимость с классическими утилитами sudo и su, позволяющая использовать sudo-rs в качестве прозрачной замены sudo в типовых сценариях, соответствующих конфигурации /etc/sudoers по умолчанию в Ubuntu и Debian.
Инструментарий sudo-rs уже задействован вместо традиционного пакета sudo в дистрибутиве Wolfi Linux, нацеленном на предоставление максимального уровня безопасности.
Предполагается, что использование языка Rust для разработки su и sudo позволит снизить риск появления уязвимостей, вызванных небезопасной работой с памятью, и исключить появление таких ошибок, как обращение к области памяти после её освобождения и выход за границы буфера (по данным компаний Microsoft и Google около 70% уязвимостей вызваны небезопасной работой с памятью).
Кроме того, для обеспечения должного уровня безопасности в рамках проекта разработан расширенный набор тестов, который также позволяет контролировать поддержание необходимого уровня совместимости с оригинальной утилитой sudo. Для сокращения поверхности атак и уменьшения числа потенциально уязвимых мест в sudo-rs решено отказаться от реализации редко используемой функциональности sudo.
Из отличий от sudo отмечается включение по умолчанию режима use_pty, игнорирование настроек env_reset, verifypw и visiblepw, которые всегда включены (например, пароль запрашивается всегда, независимо от значения verifypw). Среди принципиально не реализованной функциональности можно отметить настройки mail_badpass, always_set_home, always_query_group_plugin и match_group_by_gid, а также поддержку sendmail. Возможности которые пока не реализованы, но будут добавлены в будущем: утилита sudoedit, режимы NOEXEC и NOINTERCEPT, поддержка привязки к блоков конфигурации "Defaults" к отдельным пользователям и командам, возможность аутентификации без использования PAM.
Во втором релизе планируется добавить средства для работы в многопользовательских окружениях, такие как режим NOEXEC, добавить ведение логов аудита, предоставить в sudoers возможность сопоставления хостов и реализовать поддержку до 16 групп пользователей. В третьем выпуске намечено обеспечение совместимости с настройками sudoers, применяемыми в Fedora Linux, а также добавление утилиты sudoedit и задействование механизмов SELinux и AppArmor для усиления защиты.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.memorysafety.org/b...)
- OpenNews: Проект по реализации утилит sudo и su на языке Rust
- OpenNews: Уязвимость в sudo, позволяющая изменить любой файл в системе
- OpenNews: Уязвимости в Please, альтернативе sudo, написанной на языке Rust
- OpenNews: Критическая уязвимость в sudo, позволяющая получить привилегии root
- OpenNews: Root-уязвимость в sudo, затрагивающая Linux Mint и Elementary OS
Похожие новости:
- Выпуск Rust 1.72. Поставка пакета serde_derive только в скомпилированном виде
- Уязвимость в пакетном менеджере Cargo
- Червь P2PInfect, атакующий серверы Redis
- Выпуск языка программирования Rust 1.71
- Компания Cisco предложила файловую систему PuzzleFS для ядра Linux
- Выпуск языка программирования Rust 1.70
- Представлен Crab, форк языка Rust, избавленный от бюрократии
- Google опубликовал результат аудита используемых пакетов на языке Rust
- Проект по реализации утилит sudo и su на языке Rust
- Выпуск языка программирования Rust 1.69
Теги для поиска: #_sudo, #_rust
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 13:08
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует развитию технологий для повышения защищённости интернета, опубликовала первый стабильный выпуск проекта Sudo-rs, развивающего написанные на языке Rust варианты утилит sudo и su, предназначенные для выполнения команд от имени других пользователей. Код проекта распространяется под лицензиями Apache 2.0 и MIT. Разработка Sudo-rs ведётся инженерами из компаний Ferrous Systems и Tweede Golf на средства, предоставленные Google, Cisco и Amazon Web Services. В сентябре для подтверждения качества реализации планируется провести независимый аудит кодовой базы sudo-rs. В утилитах по возможности обеспечена совместимость с классическими утилитами sudo и su, позволяющая использовать sudo-rs в качестве прозрачной замены sudo в типовых сценариях, соответствующих конфигурации /etc/sudoers по умолчанию в Ubuntu и Debian. Инструментарий sudo-rs уже задействован вместо традиционного пакета sudo в дистрибутиве Wolfi Linux, нацеленном на предоставление максимального уровня безопасности. Предполагается, что использование языка Rust для разработки su и sudo позволит снизить риск появления уязвимостей, вызванных небезопасной работой с памятью, и исключить появление таких ошибок, как обращение к области памяти после её освобождения и выход за границы буфера (по данным компаний Microsoft и Google около 70% уязвимостей вызваны небезопасной работой с памятью). Кроме того, для обеспечения должного уровня безопасности в рамках проекта разработан расширенный набор тестов, который также позволяет контролировать поддержание необходимого уровня совместимости с оригинальной утилитой sudo. Для сокращения поверхности атак и уменьшения числа потенциально уязвимых мест в sudo-rs решено отказаться от реализации редко используемой функциональности sudo. Из отличий от sudo отмечается включение по умолчанию режима use_pty, игнорирование настроек env_reset, verifypw и visiblepw, которые всегда включены (например, пароль запрашивается всегда, независимо от значения verifypw). Среди принципиально не реализованной функциональности можно отметить настройки mail_badpass, always_set_home, always_query_group_plugin и match_group_by_gid, а также поддержку sendmail. Возможности которые пока не реализованы, но будут добавлены в будущем: утилита sudoedit, режимы NOEXEC и NOINTERCEPT, поддержка привязки к блоков конфигурации "Defaults" к отдельным пользователям и командам, возможность аутентификации без использования PAM. Во втором релизе планируется добавить средства для работы в многопользовательских окружениях, такие как режим NOEXEC, добавить ведение логов аудита, предоставить в sudoers возможность сопоставления хостов и реализовать поддержку до 16 групп пользователей. В третьем выпуске намечено обеспечение совместимости с настройками sudoers, применяемыми в Fedora Linux, а также добавление утилиты sudoedit и задействование механизмов SELinux и AppArmor для усиления защиты. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 13:08
Часовой пояс: UTC + 5