Simon McVittie enthüllt vor kurzem das identifizierte eine Schwachstelle (CVE-2021-21261) das ermöglicht es, die Isolation des isolierten Raums zu vermeiden und führen Sie beliebigen Code in der Hostsystemumgebung im Dienstprogramm zur Paketbereitstellung und -verwaltung aus Flatpak.
Verletzlichkeit ist im D-Bus flatpak-Portal Service vorhanden (Flatpak-Portal auch bekannt unter dem Servicenamen D-Bus org.freedesktop.portal.Flatpak), mit dem "Portale" gestartet werden, mit denen der Zugriff auf Ressourcen außerhalb des Containers organisiert wird.
Über das Urteil
Und es ist so, dass die als solche erwähnte Sicherheitsanfälligkeit dies nicht ist, da sie auf den Betrieb des Dienstes zurückzuführen ist Mit dem "Flatpak-Portal" können Sandbox-Anwendungen ihren eigenen untergeordneten Prozess starten in einer neuen Sandbox-Umgebung, auf die dieselben oder stärkere Isolationseinstellungen angewendet werden (z. B. um nicht vertrauenswürdige Inhalte zu verarbeiten).
Sicherheitslücke wird seitdem ausgenutzt Übergeben Sie bestimmte Umgebungsvariablen des aufrufenden Prozesses an nicht isolierte Controller vom Host-System aus (z. B. durch Ausführen des Befehls «flatpak laufen«). Eine böswillige Anwendung kann Umgebungsvariablen verfügbar machen, die sich auf die Ausführung von Flatpak auswirken, und jeden Code auf der Hostseite ausführen.
Der flatpak-session-help Service (org.freedesktop.flatpakal wer greift zu flatpak-spawn --host) soll markierte Anwendungen bereitstellen insbesondere die Fähigkeit, beliebigen Code auf dem Host-System auszuführen, Es handelt sich also nicht um eine Sicherheitsanfälligkeit, die sich auch auf die bereitgestellten Umgebungsvariablen stützt.
Das Gewähren des Zugriffs auf den Dienst org.freedesktop.Flatpak zeigt an, dass eine Anwendung vertrauenswürdig ist und beliebigen Code außerhalb der Sandbox legitim ausführen kann. Beispielsweise wird die integrierte Entwicklungsumgebung von GNOME Builder auf diese Weise als vertrauenswürdig markiert.
Mit dem D-Bus-Dienst des Flatpak-Portals können Anwendungen in einer Flatpak-Sandbox ihre eigenen Threads in eine neue Sandbox starten, entweder mit denselben Sicherheitseinstellungen wie der Anrufer oder mit restriktiveren Sicherheitseinstellungen.
Ein Beispiel dafürist, dass erwähnt wird, dass in Webbrowsern mit Flatpak als verpackt Chrom, um Threads zu starten Dadurch werden nicht vertrauenswürdige Webinhalte verarbeitet und diese Threads erhalten eine restriktivere Sandbox als der Browser selbst.
In anfälligen Versionen übergibt der Flatpak-Portaldienst die vom Aufrufer angegebenen Umgebungsvariablen an Prozesse ohne Sandbox auf dem Hostsystem und insbesondere an den Befehl flatpak run, mit dem die neue Instanz der Sandbox gestartet wird.
Eine böswillige oder kompromittierte Flatpak-Anwendung kann Umgebungsvariablen festlegen, denen der Befehl flatpak run vertraut, und sie zum Ausführen von beliebigem Code verwenden, der sich nicht in einer Sandbox befindet.
Es sollte beachtet werden, dass viele Flatpak-Entwickler den Isolationsmodus deaktivieren oder vollen Zugriff auf das Home-Verzeichnis gewähren.
Beispielsweise verfügen die Pakete GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity und VLC über einen eingeschränkten Isolationsmodus. Wenn Pakete mit Zugriff auf das Home-Verzeichnis trotz des Vorhandenseins des Tags kompromittiert werden «Sandkasten»In der Paketbeschreibung muss ein Angreifer die Datei ~ / .bashrc ändern, um seinen Code auszuführen.
Ein separates Problem ist die Kontrolle über Paketänderungen und das Vertrauen in Paketersteller, die häufig nicht mit dem Hauptprojekt oder den Distributionen verbunden sind.
Lösung
Es wird erwähnt, dass das Problem in den Flatpak-Versionen 1.10.0 und 1.8.5 behoben wurdeSpäter trat jedoch eine regressive Änderung in der Revision auf, die Kompilierungsprobleme auf Systemen mit Bubblewrap-Unterstützung verursachte, die mit dem setuid-Flag gesetzt waren.
Danach wurde die erwähnte Regression in Version 1.10.1 behoben (während das Update für den 1.8.x-Zweig noch nicht verfügbar ist).
Schließlich wenn Sie mehr darüber wissen möchten Über den Schwachstellenbericht können Sie die Details überprüfen im folgenden Link.