Simon McVittie ha svelato recentemente che ha identificato una vulnerabilità (CVE-2021-21261) che permette di evitare l'isolamento dello spazio isolato ed eseguire codice arbitrario nell'ambiente del sistema host nell'utilità di distribuzione e gestione dei pacchetti Flatpak.
Vulnerabilità è presente nel servizio del portale flatpak di D-Bus (portale flatpak noto anche con il nome di servizio D-Bus org.freedesktop.portal.Flatpak), che prevede il lancio di "portali" utilizzati per organizzare l'accesso alle risorse al di fuori del contenitore.
Sulla sentenza
Ed è che la vulnerabilità menzionata come tale non lo è, poiché è dovuta al funzionamento del servizio "Flatpak-portal" consente alle applicazioni sandbox di avviare il proprio processo figlio in un nuovo ambiente sandbox, a cui vengono applicate le stesse impostazioni di isolamento o più forti (ad esempio, per gestire contenuto non attendibile).
La vulnerabilità viene sfruttata, da allora passa variabili di ambiente specifiche del processo chiamante a controller non isolati dal sistema host (ad esempio, eseguendo il comando «corsa flatpak«). Un'applicazione dannosa può esporre variabili di ambiente che influenzano l'esecuzione di flatpak ed eseguire qualsiasi codice sul lato host.
Il servizio flatpak-session-help (org.freedesktop.flatpakal chi accede flatpak-spawn --host) ha lo scopo di fornire applicazioni contrassegnate specialmente la capacità di eseguire codice arbitrario sul sistema host, quindi non è una vulnerabilità che si basi anche sulle variabili d'ambiente fornite.
La concessione dell'accesso al servizio org.freedesktop.Flatpak indica che un'applicazione è affidabile e può legittimamente eseguire codice arbitrario al di fuori della sandbox. Ad esempio, l'ambiente di sviluppo integrato di GNOME Builder è contrassegnato come attendibile in questo modo.
Il servizio D-Bus del portale Flatpak consente alle applicazioni in una sandbox Flatpak di avviare i propri thread in una nuova sandbox, con le stesse impostazioni di sicurezza del chiamante o con impostazioni di sicurezza più restrittive.
Un esempio di questo, è che si dice che nei browser web confezionati con Flatpak come Chromium, per avviare i thread che elaborerà contenuti Web non attendibili e fornirà a tali thread una sandbox più restrittiva rispetto al browser stesso.
Nelle versioni vulnerabili, il servizio del portale Flatpak passa le variabili di ambiente specificate dal chiamante ai processi non in modalità sandbox sul sistema host, e in particolare al comando flatpak run che viene utilizzato per avviare la nuova istanza della sandbox.
Un'applicazione Flatpak dannosa o compromessa potrebbe impostare variabili di ambiente attendibili dal comando flatpak run e utilizzarle per eseguire codice arbitrario che non si trova in una sandbox.
Va ricordato che molti sviluppatori flatpak disabilitano la modalità di isolamento o danno pieno accesso alla directory home.
Ad esempio, i pacchetti GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity e VLC sono dotati di modalità di isolamento limitata. Se i pacchetti con accesso alla directory home sono compromessi, nonostante la presenza del tag «sandbox»Nella descrizione del pacchetto, un utente malintenzionato deve modificare il file ~ / .bashrc per eseguire il suo codice.
Un problema a parte è il controllo sulle modifiche ai pacchetti e la fiducia nei creatori di pacchetti, che spesso non sono associati al progetto o alle distribuzioni principali.
Soluzione
Si dice che il problema è stato risolto nelle versioni Flatpak 1.10.0 e 1.8.5, ma in seguito è apparso un cambiamento regressivo nella revisione che ha causato problemi di compilazione su sistemi con supporto a bolle d'aria impostato con il flag setuid.
Successivamente la suddetta regressione è stata corretta nella versione 1.10.1 (mentre l'aggiornamento per il ramo 1.8.x non è ancora disponibile).
Infine se sei interessato a saperne di più Riguardo al rapporto sulle vulnerabilità, puoi controllare i dettagli nel seguente link