Simon McVittie odhalen nedávno která identifikovala zranitelnost (CVE-2021-21261) umožňuje vyhnout se izolaci izolovaného prostoru a spustit libovolný kód v prostředí hostitelského systému v nástroji pro nasazení a správu balíčků Flatpak.
Zranitelnost je přítomen ve službě D-Bus flatpak-portal (portál flatpak známý také pod názvem služby D-Bus org.freedesktop.portal.Flatpak), který zajišťuje spuštění „portálů“, které slouží k organizaci přístupu ke zdrojům mimo kontejner.
O rozhodnutí
A je to tak, že zranitelnost uvedená jako taková není, protože je způsobena provozem služby „Portál Flatpak“ umožňuje aplikacím izolovaného prostoru spustit vlastní podřízený proces v novém prostředí izolovaného prostoru, na které se použije stejné nebo silnější nastavení izolace (například pro zpracování nedůvěryhodného obsahu).
Zranitelnost je využívána, protože předává proměnné prostředí specifické pro volající proces neizolovaným řadičům z hostitelského systému (například spuštěním příkazu «flatpak běh«). Škodlivá aplikace může vystavit proměnné prostředí, které ovlivňují provádění flatpak a spustit libovolný kód na straně hostitele.
Služba nápovědy flatpak-session (org.freedesktop.flatpakal kdo přistupuje flatpak-spawn-hostitel) je určen k poskytování označených aplikací zejména schopnost vykonávat libovolný kód v hostitelském systému, nejde tedy o zranitelnost, která se také opírá o proměnné prostředí, které jsou jí poskytovány.
Udělení přístupu ke službě org.freedesktop.Flatpak naznačuje, že aplikace je důvěryhodná a může legitimně spustit libovolný kód mimo karanténu. Například integrované vývojové prostředí GNOME Builder je tímto způsobem označeno jako důvěryhodné.
Služba D-Bus portálu Flatpak umožňuje aplikacím v izolovaném prostoru Flatpak spouštět vlastní vlákna do nového izolovaného prostoru, a to buď se stejným nastavením zabezpečení jako volající, nebo s přísnějším nastavením zabezpečení.
Příklad toho, je uvedeno, že ve webových prohlížečích dodávaných s Flatpak as Chrom, pro spuštění vláken který zpracuje nedůvěryhodný webový obsah a dá těmto vláknům přísnější karanténu než samotný prohlížeč.
V zranitelných verzích předává služba portálu Flatpak proměnné prostředí určené volajícím procesům v karanténě v hostitelském systému, zejména příkazu run flatpak, který se používá ke spuštění nové instance karantény.
Škodlivá nebo kompromitovaná aplikace Flatpak by mohla nastavit proměnné prostředí, kterým důvěřuje příkaz flatpak run, a použít je ke spuštění libovolného kódu, který není v karanténě.
Je třeba si uvědomit, že mnoho vývojářů flatpak deaktivuje režim izolace nebo poskytuje plný přístup k domovskému adresáři.
Například balíčky GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity a VLC mají omezený režim izolace. Pokud jsou balíčky s přístupem k domovskému adresáři ohroženy, i přes přítomnost značky «sandboxed»V popisu balíčku musí útočník upravit soubor ~ / .bashrc, aby spustil svůj kód.
Samostatnou otázkou je kontrola nad změnami balíčků a důvěra ve tvůrce balíčků, kteří často nejsou spojeni s hlavním projektem nebo distribucemi.
Řešení
Uvádí se, že problém byl opraven ve verzi Flatpak 1.10.0 a 1.8.5, ale později se v revizi objevila regresivní změna, která způsobila problémy s kompilací v systémech s podporou bubblewrap nastavenou s příznakem setuid.
Poté byla ve verzi 1.10.1 opravena uvedená regrese (zatímco aktualizace pro větev 1.8.x ještě není k dispozici).
Konečně pokud máte zájem o tom vědět více O zprávě o chybě zabezpečení můžete zkontrolovat podrobnosti Na následujícím odkazu.