Flatpak の脆弱性により、サンドボックス外でコードが実行される可能性がありました 

Darkcrizt

4分

脆弱性

これらの欠陥が悪用されると、攻撃者は機密情報に不正にアクセスしたり、一般的に問題を引き起こしたりする可能性があります

数日前にこんなニュースが流れました Flatpakに脆弱性が検出されました (Linux 上で分離されたデスクトップ アプリケーション環境を構築、配布、実行するためのシステム)。 CVE-2024-32462 に基づいてカタログ化されており、 CWE-88 分類に伴い、脆弱性が発見されました RequestBackground 経由でサンドボックスをエスケープできるようになりました。

この脆弱性 Flatpak の特定のバージョンに影響します特別に設計されたアプリケーションがサンドボックスの外で任意のコードを実行し、ユーザー情報を危険にさらす可能性があるため、その影響は深刻になる可能性があります。

脆弱性についてCVE-2024-32462

と言われています 脆弱性 悪意のあるアプリケーションまたは侵害されたアプリケーションを許可する flatpak パッケージ形式を使用して配布される バイパス絶縁モード テストエリアから メインのシステム ファイルにアクセスします。 この問題は、分離されたアプリケーションからユーザーの環境内のリソースへのアクセスを容易にするために使用される Freedesktop ポータル (xdg-desktop-portal) を使用するパッケージでのみ発生します。

Flatpak アプリケーションから org.freedesktop.portal.Background.RequestBackground ポータル インターフェイスに任意のコマンドライン インターフェイスを渡すことができます。サンドボックス環境内に存在するコマンドのみを指定できるため、これは通常は安全です。ただし、作成されたコマンドライン オブジェクトが -commandarguments に変換されると、アプリケーションは引数を bwrapy に直接渡すのと同じ効果を達成し、サンドボックス エスケープを達成できます。

解決策は、Flatpak が –to bwrap 引数を使用して、攻撃者が指定したコマンドを追加する前にオプションの処理を停止することです。 –引数は、bubblewrap 0.3.0 以降でサポートされており、サポートされているすべてのバージョンの Flatpak には、少なくともそのバージョンの bubblewrap がすでに必要です。

この脆弱性の悪用 サンドボックス内のアプリケーションが xdg-desktop-portal インターフェイスを使用できるようにします ファイルを作成します«。デスクトップ» flatpak からアプリケーションを起動するコマンドを使用して、メイン システム上のファイルにアクセスできるようにします。

サンドボックス回避を可能にする脆弱性の本質 議論は嘘です -指図 de フラットパックラン、指定された Flatpak アプリケーションで実行するコマンドと、いくつかのオプションの引数を受け取ることが期待されます。 パラメータを操作することで «-指図« はプログラムの名前を渡すために使用されます。 オプション名を渡すことは可能でしたが、 例えば -練る、そしてこれは、パッケージ内の指定されたプログラムを分離された環境で実行するための bwrap オプションとして誤解されました。

この実際的な例 前述したように、分離パッケージ環境で ls ユーティリティを実行するには、次のようなものを使用します。

"flatpak run --command=ls org.gnome.gedit"

実行されるもの:

"bwrap ...lots of stuff... --bind / /host ls -l /host".

この場合、「-bind」という名前は、実行するアプリケーションの名前ではなく、bwrap オプションとみなされます。

このように、プログラム名が文字 «–« で始まる場合、bwrap ユーティリティがそれを独自のオプションとして解釈するという事実に脆弱性があります。 当初、この方法でコマンドを送信することは危険とは考えられていませんでしたパッケージから隔離された環境で実行されるためです。ただし、「–」で始まるコマンドが bwrap ユーティリティによってオプションとして解釈されることは考慮されていませんでした。その結果、xdg-desktop-portal インターフェイスが悪用され、この脆弱性を悪用するコマンドを使用して「.desktop」ファイルが作成される可能性があります。

引数 — bubblewrap 0.3.0 以降サポートされており、Flatpak のサポートされているすべてのバージョンには、少なくともそのバージョンの bubblewrap がすでに必要です。言及されているのは、 解決策の一つ のバージョン 1.18.4 ですか xdg-desktop-portal では、Flatpak アプリケーションによる新しいファイルの作成が許可されなくなりました - で始まるコマンドの場合は .desktop。

最後に、この脆弱性は Flatpak 1.15.8、1.14.6、1.12.9、および 1.10.9 のパッチ適用済みバージョンで修正されていることを言及する価値があります。さらに、xdg-desktop-portal バージョン 1.16.1 および 1.18.4 ではセキュリティ修正が提案されています。

次のコマンドを実行して、所有している Flatpak のバージョンを確認できます。

flatpak --version

脆弱なバージョンを使用している場合、または Flatpak のバージョンを更新したい場合は、次のコマンドのいずれかを実行してください。

Ubuntu/Debian および派生製品:

sudo apt upgrade flatpak

RHEL/Fedora および派生製品:

sudo dnf upgrade flatpak

Arch Linuxとその派生物:

sudo pacman -Syu flatpak

もしあなたが それについてもっと知りたい、詳細を確認できます 次のリンクで。