Simon McVittie va donar a conèixer fa poc que va identificar una vulnerabilitat (CVE-2021-21261) que permet evitar l'aïllament de l'espai aïllat i executar codi arbitrari a l'entorn de sistema host en la utilitat de desplegament i administració de paquets Flatpak.
la vulnerabilitat està present en el servei D-Bus flatpak-portal (flatpak-portal també conegut pel seu nom de servei D-Bus org.freedesktop.portal.Flatpak), Que proporciona el llançament de «portals» que s'utilitzen per organitzar l'accés als recursos fora de l'contenidor.
Sobre la sentència
I és que la vulnerabilitat esmentada com a tal no ho és, ja que es deu a que el funcionament de l'servei «Flatpak-portal» permet que les aplicacions d'espai aïllat iniciïn el seu propi procés secundari en un nou entorn d'espai aïllat, a què s'apliquen les mateixes configuracions d'aïllament o més forts (per exemple, per gestionar contingut que no és de confiança).
La vulnerabilitat és aprofitada, ja que passa variables d'entorn específiques de l'procés que crida a el servei a controladors que no estan aïllats de sistema principal (per exemple, executant la comanda «Carrera Flatpak«). Una aplicació maliciosa pot exposar variables d'entorn que afecten l'execució de flatpak i executar qualsevol codi al costat de l'amfitrió.
El servei flatpak-session-help (org.freedesktop.Flatpakal que accedeix flatpak-spawn -host) està destinat a brindar a les aplicacions marcades especialment la capacitat d'executar codi arbitrari en el sistema host, pel que no és una vulnerabilitat que també confiï en les variables d'entorn que se li proporcionen.
Atorgar accés a l'servei org.freedesktop.Flatpak indica que una aplicació és fiable i pot executar legítimament codi arbitrari fora de la zona de proves. Per exemple, l'entorn de desenvolupament integrat del GNOME Builder es marca com de confiança d'aquesta forma.
El servei D-Bus de el portal Flatpak permet que les aplicacions en un sandbox de Flatpak llancin els seus propis subprocessos en una nova instància de sandbox, ja sigui amb la mateixa configuració de seguretat que la persona que truca o amb una seguretat més restrictiva ajustos.
Un exemple d'això, És que s'esmenta que en navegadors web empaquetats amb Flatpak com Chromium, per iniciar subprocessos que processaran contingut web que no és de confiança i donar a aquests subprocessos una caixa de sorra més restrictiva que el propi navegador.
En les versions vulnerables, el servei de portal Flatpak passa les variables d'entorn especificades per la persona que truca als processos que no estan en l'espai aïllat en el sistema host i, en particular, a la comanda flatpak run que s'utilitza per llançar la nova instància de l'espai aïllat.
Una aplicació Flatpak maliciosa o compromesa podria establir variables d'entorn en què confia el comandament flatpak run i usar-les per a executar codi arbitrari que no es troba en una sandbox.
Cal recordar que molts desenvolupadors de flatpak desactiven el mode d'aïllament o deixen de llibertat absoluta a directori d'inici.
Per exemple, els paquets GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity i VLC vénen amb una manera d'aïllament limitat. Si els paquets amb accés a directori d'inici es veuen compromesos, tot i la presència de l'etiqueta «sandboxed»En la descripció de l'paquet, un atacant necessita modificar l'arxiu ~ / .bashrc per executar el seu codi.
Un tema a part és el control sobre els canvis en els paquets i la confiança en els creadors de paquets, que sovint no tenen relació amb el projecte principal o les distribucions.
Solució
S'esmenta que el problema es va solucionar en les versions 1.10.0 i 1.8.5 de Flatpak, Però que més tard va aparèixer un canvi regressiu en la revisió que va provocar problemes de compilació en els sistemes amb el suport de bubblewrap configurat amb la bandera setuid.
Posterior a això la regressió esmentada es va corregir en la versió 1.10.1 (mentre que l'actualització per a la branca 1.8.x encara no està disponible).
Finalment si estàs interessat en conèixer més a l'respecte sobre el reporti de la vulnerabilitat, pots consultar els detalls en el següent enllaç.