SimonMcVittieが発表 最近 脆弱性を特定した (CVE-2021-21261)その 隔離されたスペースの隔離を回避することができます パッケージ展開および管理ユーティリティのホストシステム環境で任意のコードを実行します Flatpak。
脆弱性 D-Busフラットパックポータルサービスに存在します (flatpak-ポータル サービス名D-Busでも知られています org.freedesktop.portal.Flatpak)、コンテナ外のリソースへのアクセスを整理するために使用される「ポータル」の起動を提供します。
判決について
そして、それはサービスの運用によるものであるため、そのように言及された脆弱性はそうではないということです 「Flatpak-portal」を使用すると、サンドボックスアプリケーションで独自の子プロセスを開始できます 同じまたはより強力な分離設定が適用される新しいサンドボックス環境(たとえば、信頼できないコンテンツを処理するため)。
脆弱性が悪用されるため 呼び出しプロセスに固有の環境変数を分離されていないコントローラーに渡します ホストシステムから(たとえば、コマンド«を実行することにより)フラットパックラン«)。 悪意のあるアプリケーションは、flatpakの実行に影響を与える環境変数を公開し、ホスト側で任意のコードを実行する可能性があります。
flatpak-session-helpサービス (org.freedesktop.flatpakal アクセスする人 flatpak-spawn --host) マークされたアプリケーションを提供することを目的としています 特に ホストシステム上で任意のコードを実行する機能、 したがって、提供された環境変数にも依存していることは脆弱性ではありません。
org.freedesktop.Flatpakサービスへのアクセスを許可することは、アプリケーションが信頼でき、サンドボックスの外部で任意のコードを合法的に実行できることを示します。 たとえば、GNOME Builder統合開発環境は、この方法で信頼できるものとしてマークされます。
FlatpakポータルのD-Busサービスを使用すると、Flatpakサンドボックス内のアプリケーションは、呼び出し元と同じセキュリティ設定またはより制限されたセキュリティ設定を使用して、新しいサンドボックスに独自のスレッドを起動できます。
この例、Flatpakにパッケージ化されたWebブラウザでは クロム、スレッドを開始します これは、信頼できないWebコンテンツを処理し、それらのスレッドにブラウザー自体よりも制限の厳しいサンドボックスを提供します。
脆弱なバージョンでは、Flatpakポータルサービスは、呼び出し元によって指定された環境変数を、ホストシステム上のサンドボックス化されていないプロセス、特にサンドボックスの新しいインスタンスを起動するために使用されるflatpakrunコマンドに渡します。
悪意のある、または侵害されたFlatpakアプリケーションは、flatpak runコマンドによって信頼される環境変数を設定し、それらを使用してサンドボックスにない任意のコードを実行する可能性があります。
多くのflatpak開発者は、分離モードを無効にするか、ホームディレクトリへのフルアクセスを許可することを覚えておく必要があります。
たとえば、GIMP、VSCodium、PyCharm、Octave、Inkscape、Audacity、およびVLCパッケージには、制限付きの分離モードが付属しています。 タグ«が存在するにもかかわらず、ホームディレクトリにアクセスできるパッケージが危険にさらされている場合サンドボックス»パッケージの説明で、攻撃者はコードを実行するために〜/ .bashrcファイルを変更する必要があります。
別の問題は、パッケージへの変更の制御と、メインプロジェクトまたはディストリビューションに関連付けられていないことが多いパッケージ作成者への信頼です。
ソリューション
Flatpakバージョン1.10.0および1.8.5で問題が修正されたと記載されています、しかしその後、リビジョンに回帰的な変更が加えられ、setuidフラグが設定されたバブルラップサポートを備えたシステムでコンパイルの問題が発生しました。
その後、前述のリグレッションはバージョン1.10.1で修正されました(1.8.xブランチのアップデートはまだ利用できません)。
最後に あなたがそれについてもっと知りたいのなら 脆弱性レポートについては、詳細を確認できます 次のリンクで。