Chyba zabezpečení ve Flatpak umožnila spuštění kódu mimo sandbox 

zranitelnost

Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy

Před několika dny to přinesla zpráva V Flatpak byla zjištěna chyba zabezpečení (systém pro vytváření, distribuci a provoz izolovaných prostředí desktopových aplikací na Linuxu). Katalogováno pod CVE-2024-32462, spolu s klasifikací CWE-88 byla zjištěna zranitelnost povoleno opustit sandbox přes RequestBackground.

Tato chyba zabezpečení ovlivňuje určité konkrétní verze Flatpaka jeho dopad může být vážný, protože speciálně navržená aplikace by mohla spustit libovolný kód mimo karanténu a ohrozit tak informace o uživateli.

O chybě zabezpečení CVE-2024-32462

Je to zmíněno zranitelnost umožňuje škodlivou nebo kompromitovanou aplikaci distribuován pomocí formátu balíčku flatpak režim izolace bypassu z testovací oblasti a přístup k hlavním systémovým souborům. K tomuto problému dochází pouze v balíčcích, které používají portály Freedesktop (xdg-desktop-portal), používané k usnadnění přístupu ke zdrojům v prostředí uživatele z izolovaných aplikací.

Je možné předat libovolné rozhraní příkazového řádku do rozhraní portálu org.freedesktop.portal.Background.RequestBackground z aplikace Flatpak. To je obvykle bezpečné, protože můžete zadat pouze příkaz, který existuje v prostředí karantény; ale když je vytvořený objekt příkazového řádku převeden na –commandarguments a aplikace by mohla dosáhnout stejného efektu předávání argumentů přímo bwrapy, čímž by se dosáhlo sandbox escape.

Řešením je, aby Flatpak před přidáním příkazu zadaného útočníkem použil argument –to bwrap, který způsobí, že zastaví možnosti zpracování. Argument – ​​je podporován od verze bubblewrap 0.3.0 a všechny podporované verze Flatpak nyní vyžadují alespoň tuto verzi bubblewrap.

Využití této zranitelnosti umožňuje aplikaci v karanténě používat rozhraní xdg-desktop-portal k vytvoření souboru «.desktop» pomocí příkazu, který spustí aplikaci z flatpaku, čímž umožní přístup k souborům v hlavním systému.

Podstata zranitelnosti, která vám umožňuje vyhnout se sandboxu leží argument -příkaz de flatpak běh, který očekával, že obdrží příkaz ke spuštění v zadané aplikaci Flatpak spolu s některými volitelnými argumenty. Manipulací s parametrem «-příkaz«, který se používá k předání názvu programu, bylo možné předat název opce, jako například -svázata toto bylo nesprávně interpretováno jako volba bwrap pro spuštění zadaného programu v balíčku v izolovaném prostředí.

Praktický příklad toho zmíněno, je spustit obslužný program ls v prostředí izolovaného balíčku, použijete něco podobného tomuto:

"flatpak run --command=ls org.gnome.gedit"

Které provede:

"bwrap ...lots of stuff... --bind / /host ls -l /host".

V tomto případě nebude název „–bind“ považován za název aplikace, která se má spustit, ale spíše za volbu bwrap.

Zranitelnost jako taková spočívá ve skutečnosti, že pokud název programu začíná znaky «–«, nástroj bwrap to bude interpretovat jako svou vlastní volbu. Původně nebylo odesílání příkazů tímto způsobem považováno za nebezpečné, protože by běžely v prostředí izolovaném od balíčku. Nebylo však vzato v úvahu, že příkazy začínající na „–“ budou nástrojem bwrap interpretovány jako volby. Výsledkem je, že rozhraní xdg-desktop-portal lze zneužít k vytvoření souboru ".desktop" pomocí příkazu, který tuto chybu zabezpečení zneužije.

Argument — je podporován od bubblewrap 0.3.0 a všechny podporované verze Flatpak již vyžadují alespoň tuto verzi bubblewrap. Je to zmíněno jedno z řešení je to verze 1.18.4 xdg-desktop-portal již neumožňuje aplikacím Flatpak vytvářet nové soubory .desktop pro příkazy začínající na -.

Nakonec stojí za zmínku, že zranitelnost byla opravena v opravených verzích Flatpak 1.15.8, 1.14.6, 1.12.9 a 1.10.9. Kromě toho byla navržena oprava zabezpečení v xdg-desktop-portal verze 1.16.1 a 1.18.4.

Verzi Flatpak, kterou máte, můžete zkontrolovat spuštěním následujícího příkazu:

flatpak --version

V případě, že používáte zranitelnou verzi nebo pokud chcete aktualizovat svou verzi Flatpak, spusťte jeden z následujících příkazů:

Ubuntu/Debian a odvozeniny:

sudo apt upgrade flatpak

RHEL/Fedora a deriváty:

sudo dnf upgrade flatpak

Arch Linux a jeho deriváty:

sudo pacman -Syu flatpak

Pokud zájem dozvědět se o tom více, můžete zkontrolovat podrobnosti Na následujícím odkazu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.