Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения

gobo

У меня из флатпака стоит дискорд ради песочницы, потому что ну его нафиг ставить из пакета. Короче, флатпак - для проприетарщины.

А надо было ставить на виртуалку на виртуалочном сервере.

У тебя есть какие-то вопросы по существу?

Вот как мы раньше страшно и скучно жили: один apt с deb-ами (ну или yum с rpm-ами или ещё что), и всё. А теперь-то как хорошо: ещё и снап, и флатпак, и докер, и lxc, и всё одновременно, и везде свои уязвимости, хорошие и разные. Зато безопасность на высоте, как никогда! А как все утилиты обычные на расте перепишут, так безопасность вообще изо всех щелей попрёт.

Виртуалок не оберешься на весь этот хлам.

да, какой у тебя дистрибутив?

Да я не против. Просто хотелось, чтобы из новости было понятно, что именно там за уязвимость. Было непонятно и путано. Сейчас уже хорошо, спасибо @dataman.

Если софт из песочницы вылезет в хомяк, то внесёт в файл ~/.bashrc вредоносный код и всё, приплыли. И таких мест в хомяке штук 6 которые всегда работают в любом окружении, кроме самой экзотики и ещё штук 50 которые работают при наличии некоторого софта на машине.

Именно.

Хотя bash используют не все, .profile надёжнее — его помимо баша другие популярные шеллы тоже запустят.

Всё так. Если есть возможность положить произвольный файл в произвольное место - считай, запустится что угодно. И пофигу, что не от рута.

Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно отключить сервис

Что-то тут не то, результаты при открытии

https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-34078   ====>  'CVE-2026-34078' is not a valid bug number nor an alias to a bug.
https://koji.fedoraproject.org/koji/packageinfo?packageID=22442 ====>  норм 
https://people.canonical.com/~ubuntu-security/cve/CVE-2026-34078  ====> time out
https://security-tracker.debian.org/tracker/CVE-2026-34078      ====>          norm
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-34078
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-34078  ====>  norm

а есть ли тут пользователи, которые активно используют flatpak? я так понимаю, любители nixos?

а есть ли тут пользователи, которые активно используют windows? я так понимаю, любители macos?

А кому какое дело до xdg? И вообще я противник всяких ограничений ради ограничений, когда толку в ограничениях реального нет совсем. А в итоге имеем и дырявую систему с пакетами от Васяна, которые лезут куда-попало и кучу толком не работающего софта, который не может залезть туда, куда ему нужно.

Использование софта, который имеет полный доступ к хомяку, — фатальная уязвимость, а непонимание этого — идиотизм, равный работе из-под рута, особенно в эпоху, когда софт глубоко веб-интегрирован.

Юзерам, которые не осилили или не поняли этого, я обычно рекомендую макось — там это сделано +- юзер-френдли из коробки

Последнее время с флатхаба очень медленно качаются обновления, а систему зеркал они так и не сделали, поэтому сокращаю количество приложений с флатхаба в пользу других методов установки.

Debian с 2009 без изменений

забавно, и сколько пакетов flatpak сейчас стоит в системе?

а есть ли тут пользователи, которые активно используют windows?

Тут (здесь ;) ) есть пользователи, которые «активно не используют Windows»... :)

терешо

Ну что тут можно сказать, решето.

То есть это костыли, а контейнеры нет?

И флатпаки/снапы костыли, и selinux/apparmor костыли.

Контейнеры в общем виде - сами по себе не костыльны, но тут речь не про это.

Идея «запущу не пойми что, огорожу приклеенными сбоку списками доступа» сама по себе костыльна.

Контейнеры в общем виде - сами по себе не костыльны

хаха, поциент показывает прогресс, более того, с архитектурной точки зрения, докер это еще тот костыль в костыльном POSIX мире

Что за пациенты с прогрессами и при чём тут докер (который действительно костылен)?

пациенты которые путаются в показаниях

Зачем ты пишешь всякую ерунду? Тема про флатпак а не про твои медицинские похождения.

Для абстрактного прикладного вроде бы AppImage был. Хотя у него тоже недостатков вагон.

Как я понимаю, AppImage – это такой аналог portable приложений, все же другой смысл

А вы видели хоть, 1 рабочий вирус под Линукс)? Я нет, только под винду:) А для Линукса, даже для теста найти проблематично. Для Линукса вирусы писать, ровно то же, что и для sylable desktop, в общем смысле, нет никакой пользы.

Я б сказал не совсем portable. В систему то вносить изменения они могут.

Из плюсов разве что то что одним файлом…

А вы видели хоть, 1 рабочий вирус под Линукс)?

почти еженедельно: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

Засчитано. Однако шанс развертывания, как всегда мал ,как и процент использования Линукс)

Однако шанс развертывания, как всегда мал

Шанс очень большой, урон катастрофический. Это пакет, который используется в огромном кол-ве софта, особенно у разработчиков. Я не представляю сколько стянули ssh-ключей и всяких токенов

А вы меня всё уговаривали Flatpack изучать. Хорошо, что я так и не начинал.

тащить precompiled бинарниви для сборки - ссзб, protobuf говно, градли тоже

более того, rpm легко может иметь в разделе установки пач Бармина (у меня так знакомый попал, потом года три только SRPM ставил после проверки)

ты еще ножкой топни

приложению в формате Flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции.

… от имени запустившего её пользователя. Что, в дофлатпачные времена, вообще нормой считалось.

Проблеме присвоен критический уровень опасности (9.3 из 10).

Непонятно, чего тут критического. Раньше все запускали проги без флатпака. Теперь придумали способ, как под флатпаком запускать так, чтобы было как будто без него. И всего то.

Нет, я понимаю, если бы речь шла про сетевые сервисы с правами рута. Но, вроде бы, их из-под флатпака не гоняют.

Может, но я все равно буду ими пользоваться, скорее урон будет от вирусов на винде, чем на линуксе. Я только недавно полностью, на него перешел, и хер там плавал, флатпак, один из самых удобных вещей, что приходилось юзать.

Непонятно, чего тут критического. Раньше все запускали проги без флатпака. Теперь придумали способ, как под флатпаком запускать так, чтобы было как будто без него. И всего то.

Раньше требования к безопасности были иными, ценность данных была ниже, проникновение технологий было меньше. Раньше письма plain-текстом отправлялись – ну и что?

Нет, я понимаю, если бы речь шла про сетевые сервисы с правами рута. Но, вроде бы, их из-под флатпака не гоняют.

А сильно твой юзер по правам отличается по правам от рута? Все пользовательские данные лежат в хомяке, возможность запускать исполняемые файлы есть, автозапуск есть, доступ к большинству железок есть. В чем разница? Все необходимое для зловреда лежит как раз в хомяке

Погоди, я хочу в инкскейпе или гимпе картинки рисовать. Куда мне их сохранять? В tmp? Или в облака?

в буфер обмена :)

А вы меня всё уговаривали Flatpack изучать. Хорошо, что я так и не начинал.

Не в защиту фэтпака, но, как я понял, по беглому чтению заголовка, проблема не в том, что приложения в фэтпэке ломают твой линупс, а в том, что у них сломалась песочница, и права доступа приложения становятся такими же, как у любого другого вне фэтпака.

Нет flatpak, нет уязвимостей. А для чего он и вообще нужен, нельзя поставить приложение пакетным менеджером?

Погоди, я хочу в инкскейпе или гимпе картинки рисовать. Куда мне их сохранять? В tmp? Или в облака?

Рисуешь в инкскейпе или гимпе, сохраняешь в хомяк. В чем проблема? Flatpak дает возможность сохранять файлы в хомяк, при этом не давая полный доступ к нему. Возможность работы с файлами, и подход со стороны пользователя никак не меняется.

Я подозреваю что половина треда вообще не в теме что это и как работает, просто дедофское отторжение чего-то неизвестного

Раньше требования к безопасности были иными, ценность данных была ниже

Вы так говорите, будто все пользуются флатпаком. А это не так. А кто и пользуется - для пары прог, которых нет в пакетах.

В чем разница? Все необходимое для зловреда лежит как раз в хомяке

Разница в том, что зловреда ещё установить надо. А проги я ставлю только из пакетов, что требует рута. Пока зловред ни проник в какой-либо из пакетов, я могу у себя запускать любое кол-во дырявых прог - кто их проэксплуатирует?

Если мы перестаём доверять пакетам и начинаем каждую прогу пускать из контейнера - ну так пока я такого не наблюдаю. Флатпак используют для 1-2 прог, а пакеты - для всего остального.

я могу у себя запускать любое кол-во дырявых прог - кто их проэксплуатирует?

Проэксплуатирует их веб, программы в наше время – штуки интерактивные, сами зачастую исполняют динамический код, см. браузер

Или юзаешь комп оффлайн?

Если мы перестаём доверять пакетам и начинаем каждую прогу пускать из контейнера

Уже с десяток лет пора перестать

Уже с десяток лет пора перестать

Забавно, за 25+ лет использования bsd/linux на десктопе так ничего не подхватил, наверное просто везет :)

а все подозрительное запускаю в контейнерах

Проэксплуатирует их веб, программы в наше время – штуки интерактивные, сами зачастую исполняют динамический код, см. браузер

Браузер сам создаёт сэндоксы. Секкомп, лэндлок, разбивка на процессы с IPC. Ему ваш флатпак - до лампочки.

Уже с десяток лет пора перестать

Совершенно не зачем. selinux и его аналоги - куда легковеснее.

А что делать, если дистр уже устарел и кроме как консервации, этих пакетов, речи не может идти вообще. Пользователь либо, должен обновить дистр, либо бегать и собирать файлы что просто хардово. А appimage их вручную создать, невероятно муторно и сложно. В отличие от флатпака. Хотя сайты вроде предоставляют много подобных, но увы они не тащат все с собой, а берут из системы) А тарболл, это разве просто не аналог rar,zip просто архив?