Simon McVittie predstavený nedávno ktorá identifikovala zraniteľnosť (CVE-2021-21261) umožňuje vyhnúť sa izolácii izolovaného priestoru a spustiť ľubovoľný kód v prostredí hostiteľského systému v obslužnom programe nasadenia a správy balíkov Flatpak.
Zraniteľnosť je prítomný v službe D-Bus flatpak-portal (flatpak-portál známy tiež pod menom služby D-Bus org.freedesktop.portal.Flatpak), ktorý zabezpečuje spustenie „portálov“, ktoré sa používajú na organizáciu prístupu k zdrojom mimo kontajnera.
O rozsudku
A je to tak, že uvedená zraniteľnosť nie je, pretože je to v dôsledku fungovania služby „Portál Flatpak“ umožňuje aplikáciám v karanténe spustiť vlastný podradený proces v novom prostredí karantény, na ktoré sa vzťahujú rovnaké alebo silnejšie nastavenia izolácie (napríklad na spracovanie nedôveryhodného obsahu).
Zraniteľnosť sa využíva odovzdať špecifické premenné prostredia volajúceho procesu neizolovaným radičom z hostiteľského systému (napríklad spustením príkazu «flatpak beh«). Škodlivá aplikácia môže odhaliť premenné prostredia, ktoré ovplyvňujú vykonávanie flatpak, a vykonávať akýkoľvek kód na strane hostiteľa.
Pomocná služba relácie flatpak (org.freedesktop.flatpakal kto pristupuje flatpak-spawn-hostiteľ) je určený na poskytovanie označených aplikácií obzvlášť schopnosť vykonávať ľubovoľný kód v hostiteľskom systéme, nejde teda o zraniteľnosť, ktorá sa tiež spolieha na premenné prostredia, ktoré sú jej poskytované.
Udelenie prístupu k službe org.freedesktop.Flatpak naznačuje, že aplikácia je dôveryhodná a môže legitímne vykonávať ľubovoľný kód mimo karantény. Napríklad integrované vývojové prostredie GNOME Builder je týmto spôsobom označené ako dôveryhodné.
Služba D-Bus portálu Flatpak umožňuje aplikáciám v karanténe Flatpak spúšťať svoje vlastné vlákna do nového karantény, a to buď s rovnakými bezpečnostnými nastaveniami ako volajúci, alebo s prísnejšími bezpečnostnými nastaveniami.
Príklad toho, je to, že sa uvádza, že vo webových prehliadačoch dodávaných s balíkom Flatpak as Chróm, na založenie vlákna ktorý spracuje nedôveryhodný webový obsah a poskytne týmto vláknam obmedzujúcejšie karanténu ako samotný prehliadač.
V zraniteľných verziách portálová služba Flatpak odovzdáva premenné prostredia určené volajúcim procesom v karanténe v hostiteľskom systéme, najmä príkazu flatpak run, ktorý sa používa na spustenie novej inštancie karantény.
Škodlivá alebo napadnutá aplikácia Flatpak môže nastaviť premenné prostredia, ktorým dôveruje príkaz flatpak run, a použiť ich na vykonanie ľubovoľného kódu, ktorý sa nenachádza v karanténe.
Malo by sa pamätať na to, že mnoho vývojárov flatpak deaktivuje režim izolácie alebo poskytuje úplný prístup k domovskému adresáru.
Napríklad balíky GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity a VLC majú obmedzený režim izolácie. Ak sú balíčky s prístupom do domovského adresára narušené, napriek prítomnosti štítku «sandboxed»V popise balíka musí útočník upraviť súbor ~ / .bashrc, aby spustil svoj kód.
Samostatným problémom je kontrola zmien balíkov a dôvera k tvorcom balíkov, ktorí často nie sú spojení s hlavným projektom alebo distribúciami.
Riešenie
Uvádza sa, že problém bol opravený vo verziách Flatpak 1.10.0 a 1.8.5, ale neskôr sa v revízii objavila regresívna zmena, ktorá spôsobila problémy s kompiláciou v systémoch s podporou bubblewrap nastavenou s príznakom setuid.
Potom bola spomínaná regresia vo verzii 1.10.1 opravená (zatiaľ čo aktualizácia pre vetvu 1.8.x ešte nie je k dispozícii).
Konečne ak máte záujem dozvedieť sa o tom viac V správe o zraniteľnosti môžete skontrolovať podrobnosti Na nasledujúcom odkaze.