The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию

14.03.2021 07:30

Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4.

Уязвимость вызвана ошибкой в реализации функции перенаправления доступа к файлу ("file forwarding"), которая даёт возможность через манипуляцию с .desktop-файлом обратится к ресурсам во внешней файловой системе, к которым запрещено обращаться запущенному приложению. При добавлении файлов с метками "@@" и "@@u" в поле Exec, flatpak посчитает что указанные целевые файлы были явно указаны пользователем и автоматически пробросит доступ к этим файлам в sandbox. Уязвимость может быть использована авторами вредоносных пакетов для организации доступа к внешним файлам, несмотря на видимость запуска в режиме изоляции.

  1. Главная ссылка к новости (https://github.com/flatpak/fla...)
  2. OpenNews: Уязвимость во Flatpak, позволяющая обойти режим изоляции
  3. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
  4. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
  5. OpenNews: Критика Flatpak
  6. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.10.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54755-flatpak
Ключевые слова: flatpak
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Леголас (ok), 07:39, 14/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    такая глупость тянется аж с мая 2017
     
     
  • 2.2, iPony129412 (?), 07:47, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вообще радует, что исправляют.
    Хоть кто-то на это внимание обращает.
    Кто прям совсем как-то уровень плинтусный в этом Flatpak.
     
     
  • 3.23, Анониним (?), 15:57, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Плинтусный.

    Вот это:

    > При добавлении файлов с метками "@@" и "@@u" в поле Exec

    в общем-то, очередная уличная магия. А применение магии в коде - признак низкого качества.

    Для нестабильных вещей с такими признаками применять может и можно, для широкого использования - нет.

     
  • 3.38, Аноним (38), 18:57, 15/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О, главный двигатель прогресса - неосилятор.

    Такие как ты вон в соседней ветке про spectre уже навводили новых г...о технологий.

     
     
  • 4.40, iPony129412 (?), 07:00, 16/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А я то что? Тем более написан мной комментарий нелестный про Flatpak:
    "радует что хоть что-то исправляют" - так 👎👎👎

    Написано что-то подобное: "признак низкого качества" - так 👍👍👍

    Тут нечего добавить 😂

     
  • 2.14, анонн (ok), 13:58, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > такая глупость тянется аж с мая 2017

    The 's' in Flatpak stands for 'security' ...

     
  • 2.26, Аноним (26), 17:21, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Про необходимость переписывания на Rust ещё никто не сказал?
     
     
  • 3.34, Аноним (34), 00:03, 15/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он пока на сезонном облечивании
     
  • 3.39, Аноним (38), 23:35, 15/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно. И наконец окончательно похоронить этот ужас.

    Растоманы хорошо с этим справляюся. Заберети себе в мусорку ещё systemd

     

  • 1.3, Аноним (3), 08:07, 14/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    С учётом того, что в большинстве flatpak-пакетов вообще отключают изоляцию (https://flatkill.org/2020/), все эти уязвимости для обхода sandbox выглядят странно.
    Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах
    filesystem=host или filesystem=home, но в каталоге Flathub помечена флажком sandboxed. Такие пакеты имеют полный доступ ко всей ФС или файлам пользователя, включая .bashrc и прочие автоматически запускаемые сценарии.

    Установка flatpak имеет смысл только по ссылкам с сайтов основных проектов и официальных анонсов. Запуская найденный во FlatHub или упомянутый не на официальном сайте flatpak-пакет нужно понимать, что без аудита манифеста это действие мало отличается от запуска левого бинарника, загруженного с первого попавшегося сайта. C supply chain во flathub тоже не всё гладко, нет проверки, что упаковщики именно те, за кого они себя выдают, а не просто Вася назвался участником проекта и начал публиковать собранный на коленке пакет.

     
     
  • 2.4, VINRARUS (ok), 09:53, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах filesystem=host или filesystem=home

    Главная проблема пакетов Flatpak шо нету одной централизованой настройки для всех пакетов.
    Я руками права запуска меняю\проверяю после установки, перед первым запуском.

     
     
  • 3.6, iPony129412 (?), 10:57, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще есть рулон туалетной бумаги 🧻
    https://github.com/tchx84/Flatseal
    ну так оно эксперементальное
     
     
  • 4.7, VINRARUS (ok), 11:21, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >JavaScript 95.1%

    Теперь ясно откуда такое поэтичное лого.

    Но если разведётся много Flatpakов то буду иметь ввиду, дякую.

     
  • 2.9, Аноним (9), 12:53, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Flatpack - не для безопасности, а чтобы смузихлёбы вообще могли забить почти на всё, включая безопасность.
     
     
  • 3.11, dumcha (?), 13:08, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Сидишь на стабильном LTS но со свеженькими пакетиками. Кто ж откажется!
     
     
  • 4.15, Аноним (9), 14:05, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    /0
     
     
  • 5.24, Анониним (?), 15:59, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И станция управления продуктивом висит попой в плавках в интернет. Да. Эти - могут. Зачем-то.
     

  • 1.5, YetAnotherOnanym (ok), 10:53, 14/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > позволяющая автору пакета

    Расходимся...

     
     
  • 2.36, Аноним (36), 17:42, 15/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если убрать из новомодных пакетных форматов изоляцию, то они превратятся в банальный tar.gz. И нафейхуа это нужно тогда?
     

  • 1.10, Аноним (10), 13:02, 14/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Нет флатпака — нет проблем!
     
     
  • 2.12, Аноним (12), 13:27, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нет линукса - нет проблем.
     
     
  • 3.13, VINRARUS (ok), 13:41, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет процесора — нет проблем.
     
     
  • 4.20, Аноним (20), 15:08, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет электроэнергии - нет проблем.
     
     
  • 5.25, транскрипция (?), 16:05, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет петросянских лесенок - нет проблем.
     
     
  • 6.27, Аноним (-), 18:07, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет главного петрасяна гадящего всю лесенку - нет проблем
     
     
  • 7.30, Аноним (-), 18:27, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет проблем — нет проблем.
     
     
  • 8.31, OpenEcho (?), 18:47, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    problem problem problem... текст свёрнут, показать
     
     
  • 9.33, Аноним (33), 20:33, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у тя ошибка в выражении, забыл общую инверсию ... текст свёрнут, показать
     

  • 1.16, Аноним (16), 14:05, 14/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Комменты не читал, если в первом же комменте про flatpak нет этой ссылки https://flatkill.org/ - комментаторам незачёт.

    Из 6 кроссдистрибутивных способов установки пакетов по-прежнему лучшие два - nix/guix, ибо:
    1. тарболы - колхоз
    2. appimage - причёсанный но необновляемый колхоз
    3. flatpak - тонкий вендорлок Пидоры (модераторам - это транскрипция реально существующего дистрибутива Pidora)
    4. snapd - толстый вендорлок Уебунты (модераторам - это просто описка)
    5. nix - годнота № 1, но со своим велосипедом вместо ЯП
    6. guix - годнота № 2, на Схеме


     
     
  • 2.17, iPony129412 (?), 14:14, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > транскрипция реально существующего дистрибутива

    существовавшего

     
  • 2.19, user90 (?), 15:08, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > guix - годнота № 2, на Схеме

    Надо же, аноним знает!)
    Годнота - это GuixSD целиком, а не один-пакетный-менеджер. Хотя я не помню уже, можно ли его называть "пакетным".

     
  • 2.29, Аноним (-), 18:11, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    5 и 6 - нинужное гно мало чем отличающееся от хаемого снапа и флатпака.  так что тролинг ни защитан
     
     
  • 3.35, Аноним (35), 16:39, 15/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нужное
     

  • 1.37, Аноним (38), 18:34, 15/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да всё равно не впало это г
    Выкидывайте. Вместе с авторами неосиляторами.
     
  • 1.41, Аноним (41), 19:08, 16/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обновил flatpak из ppa и получил неработающий spacemacs. Пришлось делать purge и откатываться на более "зрелую" версию.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру