Simonas McVittie pristatė neseniai kuris nustatė pažeidžiamumą (CVE-2021-21261) tai leidžia išvengti izoliuotos erdvės izoliacijos ir paleiskite savavališką kodą pagrindinės sistemos aplinkoje paketų diegimo ir valdymo įrankyje Flatpak.
Pažeidžiamumas yra „D-Bus flatpak-portal“ tarnyboje (flatpak-portalas taip pat žinomas savo paslaugų pavadinimu „D-Bus“ org.freedesktop.portal.Flatpak), kuriame pateikiami „portalai“, naudojami organizuoti prieigą prie ne konteinerio esančių išteklių.
Apie nutarimą
Minimas pažeidžiamumas nėra toks, nes tai yra dėl paslaugos veikimo „Flatpak-portal“ leidžia smėlio dėžės programoms pradėti savo vaiko procesą naujoje smėlio dėžės aplinkoje, kuriai taikomi tie patys arba griežtesni izoliacijos nustatymai (pavyzdžiui, tvarkant nepatikimą turinį).
Pažeidžiamumas yra išnaudojamas, nes perduoti specifinius iškvietimo proceso kintamuosius neizoliuotiems valdikliams iš pagrindinės sistemos (pavyzdžiui, paleisdami komandą «„flatpak“ bėgimas«). Kenkėjiška programa gali parodyti aplinkos kintamuosius, turinčius įtakos „Flatpak“ vykdymui, ir vykdyti bet kurį pagrindinio kompiuterio kodą.
„Flatpak-session-help“ tarnyba (org.freedesktop.flatpakal kas prieina flatpak-spawn – šeimininkas) skirta pateikti pažymėtas programas ypač galimybė vykdyti savavališką kodą pagrindinėje sistemoje, taigi tai nėra pažeidžiamumas, kad ji taip pat remiasi jai pateiktais aplinkos kintamaisiais.
Suteikiant prieigą prie org.freedesktop.Flatpak paslaugos rodo, kad programa yra patikima ir gali teisėtai vykdyti savavališką kodą už smėlio dėžės ribų. Pavyzdžiui, integruota „GNOME Builder“ kūrimo aplinka pažymima kaip patikima tokiu būdu.
„Flatpak“ portalo „D-Bus“ paslauga leidžia „Flatpak“ smėlio dėžėje esančioms programoms paleisti savo gijas į naują smėlio dėžę su tokiais pačiais saugos nustatymais kaip skambinantysis arba su griežtesniais saugos parametrais.
To pavyzdys, yra tai, kad yra paminėta, kad interneto naršyklėse, pakuotėse su „Flatpak“ kaip Chromas, norint pradėti gijas kuris apdoros nepatikimą žiniatinklio turinį ir suteiks toms gijoms daugiau apribojimų nei pati naršyklė.
Pažeidžiamose versijose „Flatpak“ portalo tarnyba perduoda skambinančiojo nurodytus aplinkos kintamuosius nešlifavimo procesams pagrindinėje sistemoje, ypač „Flatpak run“ komandai, naudojamai paleisti naują smėlio dėžės egzempliorių.
Kenkėjiška ar pažeista „Flatpak“ programa gali nustatyti aplinkos kintamuosius, kuriais pasitiki „flatpak run“ komanda, ir naudoti juos savavališkam kodui, kurio nėra smėlio dėžėje, vykdyti.
Reikėtų prisiminti, kad daugelis „Flatpak“ kūrėjų išjungia izoliacijos režimą arba suteikia visišką prieigą prie namų katalogo.
Pavyzdžiui, GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity ir VLC paketuose yra ribotas izoliacijos režimas. Jei paketai, turintys prieigą prie namų katalogo, yra pažeisti, nepaisant žymos buvimo «sandboxed»Paketo apraše užpuolikas turi modifikuoti failą ~ / .bashrc, kad jis įvykdytų savo kodą.
Atskira problema yra paketų pakeitimų kontrolė ir pasitikėjimas paketų kūrėjais, kurie dažnai nėra susiję su pagrindiniu projektu ar paskirstymais.
Sprendimas
Minima, kad problema buvo išspręsta „Flatpak“ versijose 1.10.0 ir 1.8.5, tačiau vėliau versijoje atsirado regresinis pokytis, kuris sukėlė kompiliavimo problemų sistemose, kuriose „bubblewrap“ palaikymas nustatytas su „setuid“ vėliava.
Po to minėta regresija buvo išspręsta versijoje 1.10.1 (o šakos 1.8.x atnaujinimas dar nėra).
Pagaliau jei norite sužinoti daugiau apie tai Apie pažeidžiamumo ataskaitą galite patikrinti išsamią informaciją Šioje nuorodoje.