Саймон Маквітті представив нещодавно який виявив уразливість (CVE-2021-21261), що дозволяє уникнути ізоляції ізольованого простору і запустити довільний код у середовищі хост-системи в утиліті розгортання та управління пакетом Flatpak.
Вразливість присутній у службі порталу Flat-D-Bus (flatpak-портал також відомий під назвою служби D-Bus org.freedesktop.portal.Flatpak), який передбачає запуск "порталів", які використовуються для організації доступу до ресурсів поза контейнером.
Про постанову
І полягає в тому, що вразливість, згадана як така, не є такою, оскільки вона пов’язана з роботою служби "Flatpak-портал" дозволяє програмам із пісочницею запускати власний дочірній процес в новому середовищі пісочниці, до якого застосовуються ті самі або сильніші параметри ізоляції (наприклад, для обробки ненадійного вмісту).
Вразливість використовується, оскільки передає змінні середовища, специфічні для процесу виклику, неізольованим контролерам з хост-системи (наприклад, виконавши команду «біг з плоским пакетом«). Шкідливий додаток може виставляти змінні середовища, які впливають на виконання flatpak, і виконувати будь-який код на стороні хоста.
Служба довідки flatpak-session (org.freedesktop.flatpakal хто отримує доступ плоский пакунок –хост) призначений для надання маркованих заявок особливо можливість виконувати довільний код на хост-системі, отже, не є вразливістю те, що вона також покладається на змінні середовища, надані їй.
Надання доступу до служби org.freedesktop.Flatpak вказує на те, що програма надійна і може законно виконувати довільний код за межами пісочниці. Наприклад, інтегроване середовище розробки GNOME Builder таким чином позначено як довірене.
Послуга D-Bus порталу Flatpak дозволяє програмам у пісочниці Flatpak запускати власні потоки в нову пісочницю, або з тими самими налаштуваннями безпеки, що і абонент, або з більш обмежувальними налаштуваннями безпеки.
Приклад цього, є те, що згадується, що у веб-браузерах, упакованих із Flatpak як Хром, для запуску ниток який буде обробляти ненадійний веб-вміст і надаватиме цим потокам більш обмежувальну пісочницю, ніж сам браузер.
У вразливих версіях служба порталу Flatpak передає змінні середовища, вказані абонентом, у неізольовані процеси в хост-системі, зокрема в команду запуску flatpak, яка використовується для запуску нового екземпляра пісочниці.
Шкідливий або скомпрометований додаток Flatpak може встановлювати змінні середовища, яким довіряє команда запуску flatpak, і використовувати їх для виконання довільного коду, якого немає в пісочниці.
Слід пам'ятати, що багато розробників flatpak вимикають режим ізоляції або надають повний доступ до домашнього каталогу.
Наприклад, пакети GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity та VLC мають обмежений режим ізоляції. Якщо пакети з доступом до домашнього каталогу скомпрометовані, незважаючи на наявність тегу «пісочниця»В описі пакета зловмиснику потрібно змінити файл ~ / .bashrc для виконання свого коду.
Окремою проблемою є контроль за змінами пакетів та довіра до творців пакунків, які часто не пов’язані з основним проектом чи дистрибутивами.
Рішення
Згадується, що проблему було усунуто у версіях Flatpak 1.10.0 та 1.8.5, але пізніше в ревізії з’явилася регресивна зміна, яка спричинила проблеми з компіляцією в системах із підтримкою bubblewrap, встановлених прапором setuid.
Після цього згадана регресія була виправлена у версії 1.10.1 (тоді як оновлення для гілки 1.8.x ще не доступне).
В кінці кінців якщо вам цікаво дізнатись більше про це Щодо звіту про вразливість, ви можете перевірити деталі У наступному посиланні.