Simon McVittie onthuld kort geleden die een kwetsbaarheid identificeerden (CVE-2021-21261) dat maakt het mogelijk om isolatie van de geïsoleerde ruimte te vermijden en voer willekeurige code uit in de hostsysteemomgeving in het hulpprogramma voor pakketimplementatie en -beheer Flatpak.
Kwetsbaarheid is aanwezig in de D-Bus flatpak-portalservice (flatpak-portaal ook bekend onder de servicenaam D-Bus org.freedesktop.portal.Flatpak), die de lancering van "portals" biedt die worden gebruikt om de toegang tot bronnen buiten de container te organiseren.
Over de uitspraak
En het is dat de kwetsbaarheid die als zodanig wordt genoemd, niet is, omdat deze te wijten is aan de werking van de service Met "Flatpak-portal" kunnen sandbox-applicaties hun eigen kindproces starten in een nieuwe sandbox-omgeving, waarop dezelfde of sterkere isolatie-instellingen worden toegepast (bijvoorbeeld om niet-vertrouwde inhoud af te handelen).
Kwetsbaarheid wordt sindsdien uitgebuit geeft omgevingsvariabelen die specifiek zijn voor het aanroepproces door aan niet-geïsoleerde controllers vanaf het hostsysteem (bijvoorbeeld door het commando «flatpak uitvoeren Een kwaadaardig programma kan omgevingsvariabelen blootleggen die de uitvoering van flatpak beïnvloeden en elke code op de host-zijde uitvoeren.
De flatpak-sessie-help-service (org.freedesktop.flatpakal wie toegang heeft flatpak-spawn -host) is bedoeld om gemarkeerde applicaties te bieden vooral de mogelijkheid om willekeurige code uit te voeren op het hostsysteem, het is dus geen kwetsbaarheid dat het ook afhankelijk is van de omgevingsvariabelen die eraan zijn verstrekt.
Het verlenen van toegang tot de service org.freedesktop.Flatpak geeft aan dat een toepassing betrouwbaar is en op legitieme wijze willekeurige code buiten de sandbox kan uitvoeren. De geïntegreerde ontwikkelomgeving van GNOME Builder wordt bijvoorbeeld op deze manier als vertrouwd gemarkeerd.
Met de D-Bus-service van het Flatpak-portaal kunnen applicaties in een Flatpak-sandbox hun eigen threads in een nieuwe sandbox starten, met dezelfde beveiligingsinstellingen als de beller of met strengere beveiligingsinstellingen.
Een voorbeeld hiervan, is dat er wordt vermeld dat in webbrowsers die zijn verpakt met Flatpak als Chromium, om discussies te starten die niet-vertrouwde webinhoud verwerkt en die threads een meer beperkende sandbox geeft dan de browser zelf.
In kwetsbare versies geeft de Flatpak-portalservice de omgevingsvariabelen die door de beller zijn gespecificeerd door aan niet-sandbox-processen op het hostsysteem, en in het bijzonder aan de flatpak-run-opdracht die wordt gebruikt om de nieuwe instantie van de sandbox te starten.
Een kwaadwillende of gecompromitteerde Flatpak-toepassing kan omgevingsvariabelen instellen die worden vertrouwd door de opdracht flatpak run en deze gebruiken om willekeurige code uit te voeren die niet in een sandbox staat.
Houd er rekening mee dat veel flatpak-ontwikkelaars de isolatiemodus uitschakelen of volledige toegang geven tot de homedirectory.
De GIMP-, VSCodium-, PyCharm-, Octave-, Inkscape-, Audacity- en VLC-pakketten worden bijvoorbeeld geleverd met een beperkte isolatiemodus. Als pakketten met toegang tot de homedirectory worden aangetast, ondanks de aanwezigheid van de tag «sandboxed»In de pakketbeschrijving moet een aanvaller het ~ / .bashrc-bestand aanpassen om zijn code uit te voeren.
Een apart probleem is de controle over wijzigingen aan pakketten en het vertrouwen in de makers van pakketten, die vaak niet geassocieerd zijn met het hoofdproject of de distributies.
Oplossing
Er wordt vermeld dat het probleem is opgelost in Flatpak-versies 1.10.0 en 1.8.5, maar later verscheen er een regressieve verandering in de herziening die compilatieproblemen veroorzaakte op systemen met bubblewrap-ondersteuning ingesteld met de setuid-vlag.
Daarna werd de genoemde regressie opgelost in versie 1.10.1 (terwijl de update voor de 1.8.x branch nog niet beschikbaar is).
Eindelijk als u er meer over wilt weten Over het kwetsbaarheidsrapport kunt u de details bekijken In de volgende link.