Simon McVittie a dezvăluit recent care a identificat o vulnerabilitate (CVE-2021-21261) că evită izolarea spațiului izolat și rulați cod arbitrar în mediul sistemului gazdă în utilitatea de implementare și gestionare a pachetelor Flatpak.
Vulnerabilitate este prezent în serviciul D-Bus flatpak-portal (flatpak-portal cunoscut și sub numele de serviciu D-Bus org.freedesktop.portal.Flatpak), care oferă lansarea „portalurilor” care sunt utilizate pentru a organiza accesul la resurse în afara containerului.
Despre hotărâre
Și vulnerabilitatea menționată ca atare nu este, deoarece se datorează funcționării serviciului „Flatpak-portal” permite aplicațiilor sandbox să înceapă propriul proces copil într-un mediu nou de tip sandbox, căruia i se aplică aceleași sau mai puternice setări de izolare (de exemplu, pentru a gestiona conținut neacredibil).
Vulnerabilitatea este exploatată, deoarece transmite variabile de mediu specifice procesului de apelare către controlere neizolate din sistemul gazdă (de exemplu, executând comanda «flatpak alerga«). O aplicație rău intenționată poate expune variabile de mediu care afectează execuția flatpak și execută orice cod de pe partea gazdă.
Serviciul flatpak-session-help (org.freedesktop.flatpakal cine accesează flatpak-spawn –gazdă) este destinat să furnizeze aplicații marcate mai ales capacitatea de a executa cod arbitrar pe sistemul gazdă, deci nu este o vulnerabilitate că se bazează și pe variabilele de mediu care i-au fost furnizate.
Acordarea accesului la serviciul org.freedesktop.Flatpak indică faptul că o aplicație este demnă de încredere și poate executa în mod legitim cod arbitrar în afara sandbox-ului. De exemplu, mediul de dezvoltare integrat GNOME Builder este marcat ca fiind de încredere în acest fel.
Serviciul D-Bus al portalului Flatpak permite aplicațiilor dintr-un sandbox Flatpak să lanseze propriile fire într-un sandbox nou, fie cu aceleași setări de securitate ca apelantul sau cu setări de securitate mai restrictive.
Un exemplu în acest sens, este faptul că se menționează că în browserele web ambalate cu Flatpak ca Crom, pentru a începe firele care va procesa conținut web de încredere și va oferi acelor fire un sandbox mai restrictiv decât browserul în sine.
În versiunile vulnerabile, serviciul de portal Flatpak trece variabilele de mediu specificate de apelant la procesele care nu sunt controlate pe sistemul gazdă și, în special, la comanda flatpak run care este utilizată pentru a lansa noua instanță a sandbox-ului.
O aplicație Flatpak rău intenționată sau compromisă poate seta variabile de mediu de încredere de comanda de rulare flatpak și le poate folosi pentru a executa cod arbitrar care nu se află într-un sandbox.
Trebuie reamintit faptul că mulți dezvoltatori flatpak dezactivează modul de izolare sau oferă acces complet la directorul principal.
De exemplu, pachetele GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity și VLC au un mod de izolare limitat. Dacă pachetele cu acces la directorul principal sunt compromise, în ciuda prezenței etichetei «sandboxed»În descrierea pachetului, un atacator trebuie să modifice fișierul ~ / .bashrc pentru a-și executa codul.
O problemă separată este controlul asupra modificărilor pachetelor și încrederea în creatorii de pachete, care adesea nu sunt asociați cu proiectul principal sau cu distribuțiile.
Soluție
Se menționează că problema a fost rezolvată în versiunile 1.10.0 și 1.8.5 ale Flatpak, dar mai târziu a apărut o modificare regresivă în revizuire care a cauzat probleme de compilare pe sistemele cu suport de bubblewrap setat cu steagul setuid.
După aceea, regresia menționată a fost remediată în versiunea 1.10.1 (în timp ce actualizarea pentru ramura 1.8.x nu este încă disponibilă).
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta Despre raportul de vulnerabilitate, puteți verifica detaliile În următorul link.