[ON] Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6001
ОС: gnu/linux

[ON] Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения

Сообщение rssbot »

В опубликованном несколько часов назад корректирующем выпуске системы самодостаточных пакетов Flatpak 1.16.4, а также в экспериментальном выпуске 1.17.4, устранена уязвимость (CVE-2026-34078), позволяющая вредоносному или скомпрометированному приложению в формате flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции. Проблеме присвоен критический уровень опасности (9.3 из 10).



Уязвимость присутствует в D-Bus сервисе flatpak-portal, обеспечивающем запуск "порталов", которые применяются для организации доступа к ресурсам основного окружения из изолированных приложений.
Проблема вызвана тем, что сервис flatpak-portal позволяет приложению указывать в опции sandbox-expose файловые пути, которые из-за отсутствия должных проверок могут быть символическими ссылками, указывающими на произвольные части ФС.

Перед монтированием сервис раскрывает символическую ссылку и монтирует в sandbox-окружение путь, на который она указывает, что позволяет обойти изоляцию и получить доступ на чтение и запись к файлам хост-окружения. Для организации выполнения своего кода в системе, например, можно добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile, или изменить файл ~/.ssh/authorized_keys с ключами SSH.



Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch,
Fedora.

В качестве обходного пути защиты можно отключить сервис flatpak-portal:

Код:

sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service

Помимо критической уязвимости, в новом выпуске устранено ещё три проблемы с безопасностью:
  • Возможность (CVE-2026-34079) удаления произвольного файла в файловой системе хост-системы. Проблема вызвана тем, что flatpak при очистке устаревшего кэша ld.so, не проверяет фактическое нахождение удаляемого файла в каталоге с кэшем.
  • Возможность чтения произвольных файлов в контексте system-helper на системах с настроенным репозиторием образов
    OCI через манипуляции с символическими ссылками.
  • Возможность вмешательства в обработку запросов на отмену загрузки приложений, позволяющего одному пользователю помешать другому пользователю остановить загрузку.


Дополнение: Опубликованы корректирующие выпуски Flatpak 1.16.5 и 1.17.5, в который устранены регрессии (1, 2, 3, 4), возникшие после исправления уязвимости и проявляющиеся в пакетах со Steam, браузерами и приложениями на базе браузерных движков.







Источник: https://www.opennet.ru/opennews/art.shtml?num=65170
(opennet.ru, основная лента)
Последний раз редактировалось rssbot 09.04.2026 07:16, всего редактировалось 1 раз.
Причина: Updated upstream
Спасибо сказали:
Вернуться к началу

Вернуться в «Новости»