Simon McVittie diluncurkan baru saja yang mengidentifikasi kerentanan (CVE-2021-21261) itu memungkinkan untuk menghindari isolasi ruang yang terisolasi dan menjalankan kode arbitrer di lingkungan sistem host dalam penerapan paket dan utilitas manajemen Flatpak.
Kerentanan hadir dalam layanan portal flatpak D-Bus (portal-flatpak juga dikenal dengan nama layanannya D-Bus org.freedesktop.portal.Flatpak), yang menyediakan peluncuran "portal" yang digunakan untuk mengatur akses ke sumber daya di luar penampung.
Tentang putusan
Dan kerentanan yang disebutkan tidak demikian, karena ini disebabkan oleh pengoperasian layanan "Flatpak-portal" memungkinkan aplikasi kotak pasir untuk memulai proses turunannya sendiri di lingkungan kotak pasir baru, tempat setelan isolasi yang sama atau lebih kuat diterapkan (misalnya, untuk menangani konten yang tidak tepercaya).
Kerentanan dieksploitasi, sejak meneruskan variabel lingkungan tertentu dari proses panggilan ke pengontrol non-terisolasi dari sistem host (misalnya, dengan menjalankan perintah «lari flatpak«). Aplikasi hasad dapat mengekspos variabel lingkungan yang memengaruhi eksekusi flatpak dan mengeksekusi kode apa pun di sisi host.
Layanan bantuan sesi flatpak (org.freedesktop.flatpakal yang mengakses flatpak-bertelur –host) dimaksudkan untuk menyediakan aplikasi yang ditandai khususnya kemampuan untuk mengeksekusi kode arbitrer pada sistem host, jadi ini bukan kerentanan yang juga bergantung pada variabel lingkungan yang disediakan untuknya.
Memberikan akses ke layanan org.freedesktop.Flatpak menunjukkan bahwa aplikasi dapat dipercaya dan secara sah dapat mengeksekusi kode arbitrer di luar kotak pasir. Misalnya, lingkungan pengembangan terintegrasi GNOME Builder ditandai sebagai tepercaya dengan cara ini.
Layanan D-Bus portal Flatpak memungkinkan aplikasi di kotak pasir Flatpak untuk meluncurkan utas mereka sendiri ke kotak pasir baru, baik dengan pengaturan keamanan yang sama dengan pemanggil atau dengan pengaturan keamanan yang lebih ketat.
Contoh dari ini, apakah disebutkan bahwa dalam web browser dikemas dengan Flatpak sebagai Chromium, untuk memulai utas yang akan memproses konten web tidak tepercaya dan memberikan untaian tersebut sandbox yang lebih ketat daripada browser itu sendiri.
Dalam versi yang rentan, layanan portal Flatpak meneruskan variabel lingkungan yang ditentukan oleh pemanggil ke proses non-sandboxed di sistem host, dan khususnya ke perintah run flatpak yang digunakan untuk meluncurkan instance baru dari kotak pasir.
Aplikasi Flatpak yang berbahaya atau disusupi dapat menyetel variabel lingkungan yang dipercaya oleh perintah run flatpak dan menggunakannya untuk mengeksekusi kode arbitrer yang tidak ada di kotak pasir.
Harus diingat bahwa banyak pengembang flatpak menonaktifkan mode isolasi atau memberikan akses penuh ke direktori home.
Misalnya, paket GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity, dan VLC hadir dengan mode isolasi terbatas. Jika paket dengan akses ke direktori home disusupi, meskipun ada tag «kotak pasir»Dalam deskripsi paket, penyerang perlu memodifikasi file ~ / .bashrc untuk mengeksekusi kodenya.
Masalah terpisah adalah kontrol atas perubahan paket dan kepercayaan pada pembuat paket, yang seringkali tidak terkait dengan proyek atau distribusi utama.
Larutan
Disebutkan bahwa masalah telah diperbaiki di Flatpak versi 1.10.0 dan 1.8.5, tetapi kemudian perubahan regresif muncul dalam revisi yang menyebabkan masalah kompilasi pada sistem dengan dukungan bubblewrap yang disetel dengan flag setuid.
Setelah itu, regresi yang disebutkan telah diperbaiki di versi 1.10.1 (sedangkan pembaruan untuk cabang 1.8.x belum tersedia).
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu Tentang laporan kerentanan, Anda dapat memeriksa detailnya Di tautan berikut.