Inilahad ni Simon McVittie kamakailan lamang na nakilala ang isang kahinaan (CVE-2021-21261) iyon pinapayagan na maiwasan ang paghihiwalay ng nakahiwalay na puwang at magpatakbo ng di-makatwirang code sa kapaligiran ng host system sa paglawak ng package at utility sa pamamahala Flatpak.
Kakayahang mangyari ay naroroon sa serbisyo ng D-Bus flatpak-portal (flatpak-portal kilala rin sa pangalan ng serbisyo na D-Bus org.freedesktop.portal.Flatpak), na nagbibigay ng paglulunsad ng "mga portal" na ginagamit upang ayusin ang pag-access sa mga mapagkukunan sa labas ng lalagyan.
Tungkol sa pagpapasya
At ito ay ang kahinaan na nabanggit na tulad nito ay hindi, dahil ito ay dahil sa pagpapatakbo ng serbisyo Pinapayagan ng "Flatpak-portal" ang mga application ng sandbox upang simulan ang kanilang sariling proseso ng anak sa isang bagong kapaligiran sa sandbox, kung saan ang pareho o mas malakas na mga setting ng paghihiwalay ay inilalapat (halimbawa, upang hawakan ang hindi pinagkakatiwalaang nilalaman).
Sinasamantala ang kahinaan, mula pa ipinapasa ang mga variable ng kapaligiran na tukoy sa proseso ng pagtawag sa mga hindi nakahiwalay na mga control mula sa host system (halimbawa, sa pamamagitan ng pagpapatakbo ng utos «flatpack run«). Ang isang nakakahamak na application ay maaaring ilantad ang mga variable ng kapaligiran na nakakaapekto sa pagpapatupad ng flatpak at magpatupad ng anumang code sa panig ng host.
Ang serbisyo ng flatpak-session-help (org.freedesktop.flatpakal sino ang nag-a-access flatpak-spawn --host) ay inilaan upang magbigay ng minarkahang mga application lalo na ang kakayahang magpatupad ng di-makatwirang code sa host system, kaya't ito ay hindi isang kahinaan na umaasa rin ito sa mga variable ng kapaligiran na ibinigay dito.
Ang pagbibigay ng pag-access sa serbisyo ng org.freedesktop.Flatpak ay nagpapahiwatig na ang isang application ay mapagkakatiwalaan at maaaring lehitimong magpatupad ng di-makatwirang code sa labas ng sandbox. Halimbawa, ang GNOME Builder integrated environment na pag-unlad ay minarkahan bilang pinagkakatiwalaan sa ganitong paraan.
Pinapayagan ng serbisyo ng D-Bus ng Flatpak portal ang mga application sa isang Flatpak sandbox upang ilunsad ang kanilang sariling mga thread sa isang bagong sandbox, alinman sa parehong mga setting ng seguridad tulad ng tumatawag o may mas mahigpit na mga setting ng seguridad.
Isang halimbawa nito, ay nabanggit na sa mga web browser na nakabalot sa Flatpak bilang Chromium, upang simulan ang mga thread na kung saan ay mapoproseso ang hindi pinagkakatiwalaang nilalaman ng web at bibigyan ang mga thread ng mas mahigpit na sandbox kaysa sa browser mismo.
Sa mga mahina na bersyon, ang serbisyo ng Flatpak portal ay ipinapasa ang mga variable ng kapaligiran na tinukoy ng tumatawag sa mga di-sandboxed na proseso sa host system, at partikular sa command ng flatpak run na ginagamit upang ilunsad ang bagong halimbawa ng sandbox.
Ang isang nakakahamak o nakompromisong aplikasyon ng Flatpak ay maaaring magtakda ng mga variable ng kapaligiran na pinagkakatiwalaan ng utos ng flatpak run at gamitin ang mga ito upang magpatupad ng di-makatwirang code na wala sa isang sandbox.
Dapat tandaan na maraming mga developer ng flatpak ang hindi pinagana ang paghihiwalay mode o magbigay ng buong pag-access sa direktoryo ng bahay.
Halimbawa, ang mga pakete ng GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity, at VLC ay mayroong limitadong mode ng paghihiwalay. Kung ang mga pakete na may pag-access sa direktoryo sa bahay ay nakompromiso, sa kabila ng pagkakaroon ng tag «sandboxed»Sa paglalarawan ng package, kailangang baguhin ng isang umaatake ang ~ / .bashrc file upang maipatupad ang kanyang code.
Ang isang hiwalay na isyu ay ang kontrol sa mga pagbabago sa mga pakete at pagtitiwala sa mga tagalikha ng package, na madalas na hindi naiugnay sa pangunahing proyekto o pamamahagi.
Solusyon
Nabanggit na ang problema ay naayos sa mga bersyon ng Flatpak 1.10.0 at 1.8.5, ngunit kalaunan ay lumitaw ang isang nagbabalik na pagbabago sa rebisyon na nagsanhi ng mga problema sa pagtitipon sa mga system na may suporta sa bubblewrap na itinakda sa bandila ng bandila
Pagkatapos nito ang nabanggit na pagbabalik ay naayos sa bersyon 1.10.1 (habang ang pag-update para sa 1.8.x sangay ay hindi pa magagamit).
Sa wakas kung interesado kang malaman ang tungkol dito Tungkol sa ulat ng kahinaan, maaari mong suriin ang mga detalye Sa sumusunod na link.