Bellek güvenli `sudo` uygulamasının ilk kararlı sürümü yayınlandı

 (memorysafety.org)
1 puan yazan GN⁺ 2023-11-07 | 1 yorum | WhatsApp'ta paylaş
  • Prossimo, sudo yardımcı programının Rust ile yeniden yazımı olan sudo-rs'nin ilk kararlı sürümünü duyurdu
  • sudo yardımcı programı, mühendislerin Linux işletim sisteminde kullanıcı ve yönetici hesapları arasındaki ayrıcalık sınırını aşmak için yaygın olarak kullandığı bir araç
  • sudo-rs projesi, bellek güvenli bir dil olan Rust'ı kullanarak özgün sudonun güvenliğini güçlendiriyor, daha seyrek kullanılan özellikleri dışarıda bırakarak saldırı yüzeyini azaltıyor ve kapsamlı bir test paketi geliştiriyor
  • Özgün sudodaki her üç güvenlik hatasından biri bellek yönetimi sorunlarından kaynaklanıyordu; bu sorun, bellek güvenli bir dil olan Rust kullanılarak giderildi
  • Wolfi Linux OS, sudo-rsyi şimdiden entegre etti; diğer sistemlerin de bunu izlemesi umuluyor
  • Tweede Golf ve Ferrous Systems'tan oluşan ortak ekip, Prossimo ile yapılan sözleşme kapsamında sudo-rsyi geliştirdi; proje Aralık 2022'de başladı
  • sudo-rs kodu için dış güvenlik denetimi Eylül 2023'te planlandı; bunun ardından ekip kurumsal özelliklere odaklanmayı planlıyor
  • Özgün C tabanlı sudo yardımcı programının bakımını Todd C. Miller yürütüyordu ve kendisi sudo-rs uygulamasına dair danışmanlık sağladı
  • Prossimo'nun çalışması, sudo-rs denetimini destekleyen NLnet Foundation ve bellek güvenli yazılıma geçişi destekleyen Amazon Web Services'ı da içeren fon sağlayıcılar topluluğu tarafından destekleniyor
  • Kâr amacı gütmeyen kuruluş ISRG, Prossimo'nun evrensel ve açık internet güvenliği vizyonunu destekliyor

İlgili okumalar

1 yorum

 
GN⁺ 2023-11-07
Hacker News görüşleri
  • Bellek güvenli bir sudo uygulamasının ilk kararlı sürümü yayımlandı.
  • sudonun ilk yaratıcılarından biri, tek geliştiricili bir ekip tarafından komutun tamamen yeniden uygulanmasına şaşkınlık duyduğunu belirtirken, yeni hataların ortaya çıkma olasılığından şüphe etti.
  • Rust dilinin, hata eklenmesi olasılığını ortadan kaldırmada potansiyel bir etken olduğu vurgulandı.
  • Projenin iki temel özelliği var: daha az yaygın kullanılan özellikleri dışarıda bırakarak saldırı yüzeyini azaltmak ve özgün sudoda hatalar bulan kapsamlı bir test paketi geliştirmek.
  • Özellikle daha az yaygın kullanılan özelliklerin çıkarılması ve bunun bu özellikleri kullanan yapılandırmaları nasıl etkileyeceği konusunda, projenin sudo yerine geçme hedefiyle ilgili endişeler bulunuyor.
  • Projenin GitHub README dosyası bu sınırlamaların bir kısmını özetliyor.
  • Projenin lisanslaması (Apache-2.0+MIT yerine GPL-2.0 değil), bunu ikili biçimde dağıtan kişilerin derlenmiş kaynak kodunu gösterme zorunluluğu olmadığı anlamına geliyor.
  • Bunu, bellek güvenliği ve performans iyileştirmeleri için Rust Implementation Of GNU Coreutils ile birleştiren Debian türevi bir sürüm görmeye ilgi var.
  • Bazı kullanıcılar projeye şüpheyle yaklaştı ve yeniden uygulamanın gerekliliğini ve sudo işlevlerinin karmaşıklığını sorguladı.
  • Özellikle sudonun tam özellik seti uygulanmazsa, projenin benimsenmesine ilişkin endişeler var.
  • doas aracının, sudo için daha basit bir alternatif olduğu öne sürüldü.
  • Kullanıcıların mevcut sudo yapılandırmalarını dry-run yapabilmesini ve sudo-rs tarafından desteklenmeyen bölümleri çıktılayabilmesini sağlayacak bir doğrulama/geçerlilik denetimi parametresi önerildi.
  • sudo-rsin ilk güvenlik denetimi, yakın zamandaki ilgili bir gelişme olarak anıldı.