סיימון מקוויטי חשף לאחרונה שזיהה פגיעות (CVE-2021-21261) כי מאפשר למנוע בידוד של החלל המבודד והפעל קוד שרירותי בסביבת המערכת המארחת בכלי הפריסה והניהול של החבילות Flatpak.
פגיעות נמצא בשירות D-Bus flatpak-portal (פורטל flatpak ידוע גם בשמו השירות D-Bus org.freedesktop.portal.Flatpak), המספק השקת "פורטלים" המשמשים לארגון הגישה למשאבים מחוץ למיכל.
על פסק הדין
וזה שהפגיעות המוזכרת ככזו אינה, מכיוון שהיא נובעת מהפעלת השירות "פורטל Flatpak" מאפשר ליישומי ארגזי חול להתחיל בתהליך ילד משלהם בסביבת ארגז חול חדשה, עליה מוחלות הגדרות בידוד זהות או חזקות יותר (למשל לטיפול בתוכן לא מהימן).
פגיעות מנוצלת מאז מעביר משתני סביבה ספציפיים של תהליך הקריאה לבקרים שאינם מבודדים ממערכת המארח (למשל, על ידי הפעלת הפקודה «לרוץ flatpak«). יישום זדוני יכול לחשוף משתני סביבה המשפיעים על ביצוע flatpak ולבצע כל קוד בצד המארח.
שירות ה- flatpak-session-help (org.freedesktop.flatpakal למי ניגש flatpak-spawn – host) מיועד לספק יישומים מסומנים במיוחד היכולת לבצע קוד שרירותי במערכת המארחת, כך שזו אינה פגיעות שהיא מסתמכת גם על משתני הסביבה הניתנים לה.
מתן גישה לשירות org.freedesktop.Flatpak מציין כי יישום אמין ויכול לבצע באופן חוקי קוד שרירותי מחוץ לארגז החול. לדוגמא, סביבת הפיתוח המשולבת של GNOME Builder מסומנת כאמינה באופן זה.
שירות ה- D-Bus של פורטל Flatpak מאפשר ליישומים בארגז חול של Flatpak להשיק שרשורים משלהם לארגז חול חדש, או עם אותן הגדרות אבטחה כמו המתקשר או עם הגדרות אבטחה מגבילות יותר.
דוגמא לכך, הוא שהוזכר כי בדפדפני אינטרנט ארוזים עם Flatpak as כרום, להפעלת שרשור שיעבד תוכן אינטרנט לא מהימן וייתן לשרשורים אלה ארגז חול מגביל יותר מהדפדפן עצמו.
בגרסאות פגיעות, שירות הפורטל של Flatpak מעביר את משתני הסביבה שצוינו על ידי המתקשר לתהליכים שאינם ארגזי חול במערכת המארחת, ובמיוחד לפקודת הריצה של flatpak המשמשת להפעלת המופע החדש של ארגז החול.
יישום Flatpak זדוני או נפגע יכול להגדיר משתני סביבה שאפשר לסמוך עליהם על-ידי פקודת ההרצה של flatpak ולהשתמש בהם לביצוע קוד שרירותי שאינו נמצא בארגז חול.
יש לזכור שמפתחי flatpak רבים מבטלים את מצב הבידוד או נותנים גישה מלאה לספריית הבית.
לדוגמה, חבילות GIMP, VSCodium, PyCharm, אוקטבה, Inkscape, Audacity ו- VLC מגיעות עם מצב בידוד מוגבל. אם חבילות עם גישה לספרייה הביתית נפגעות, למרות נוכחות התג «ארגז חול»בתיאור החבילה, תוקף צריך לשנות את קובץ ~ / .bashrc כדי לבצע את הקוד שלו.
נושא נפרד הוא שליטה על שינויים בחבילה ואמון על יוצרי חבילות, שלעתים קרובות אינם קשורים לפרויקט הראשי או להפצות.
פתרון
מוזכר כי הבעיה תוקנה בגרסאות Flatpak 1.10.0 ו- 1.8.5, אך מאוחר יותר הופיע שינוי רגרסיבי בתיקון שגרם לבעיות אוסף במערכות עם תמיכת גלישת בועות שנקבעה עם דגל setuid.
לאחר מכן הרגרסיה שהוזכרה תוקנה בגרסה 1.10.1 (בעוד שהעדכון לענף 1.8.x עדיין לא זמין).
בסופו של דבר אם אתה מעוניין לדעת יותר על כך לגבי דוח הפגיעות, אתה יכול לבדוק את הפרטים בקישור הבא.