Опасные уязвимости в Firejail, Connman и GNU Guix
9 февраля 2021 года
В системе для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2021-26910), позволяющая повысить свои привилегии до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo.
Уязвимость вызвана недоработкой в коде для поддержки файловой системы OverlayFS, которая используется для создания поверх основной ФС дополнительного слоя для сохранения изменений, произведённых изолированным процессом. Подразумевается, что изолированный процесс получает доступ на чтение к основной ФС, а все операции записи перенаправляются во временное хранилище и не влияют на реальную основную ФС. По умолчанию разделы OverlayFS монтируются в домашнем каталоге пользователя, например, внутри "/home/test/.firejail/[name]", при том, что владельцем данных каталогов устанавливается root, чтобы текущий пользователь не смог напрямую изменить их содержимое.
При настройке изолированного окружения, Firejail проверяет, чтобы корень временного раздела OverlayFS не был доступен на запись непривилегированному пользователю. Уязвимость вызвана состоянием гонки, связанным с тем, что операции выполняются не атомарно и между проверкой и монтированием остаётся короткий момент, позволяющий подменить принадлежащий root каталог .firejail на каталог в который имеет право записи текущий пользователь (так как .firejail создан в каталоге пользователя, пользователь может его переименовать). Наличие доступа на запись в каталог .firejail позволяет подменить точки монтирования OverlayFS символической ссылкой и добиться изменения любых файлов в системе.
Исследователем подготовлен рабочий прототип эксплоита, который будет опубликован через неделю после публикации исправления. Проблема проявляется начиная с версии 0.9.30. В выпуске 0.9.64.4 уязвимость блокирована через отключение поддержки OverlayFS. Для блокирования уязвимости обходным путём также можно отключить OverlayFS через добавление в /etc/firejail/firejail.config параметра "overlayfs" со значением "no".
Вторая опасная уязвимость (
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
