The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.06.2017 09:08  Уязвимость во Flatpak, позволяющая повысить привилегии в системе

В системе Flatpak, предоставляющей средства для создания самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном изолированном контейнере, выявлена опасная уязвимость (CVE-2017-9780), позволяющая повысить свои привилегии в системе. Проблема устранена в выпуске Flatpak 0.8.7 и 0.9.6, а также в пакетах для Debian. Уязвимость пока остаётся неисправленной в репозиториях Fedora и Ubuntu.

Уязвимость позволяет подготовить вредоносный Flatpak-пакет, содержащего файлы с некорректными правами доступа, например с флагом setuid или открытые всем на запись. После установки такого пакета, подобные файлы сохраняются в локальной системе с теми же правами, что позволяет локальному атакующему добиться выполнения поставляемого в пакете исполняемого файла с флагом suid или организовать запись в области, доступные всем на запись. В случае, когда Flatpak-пакет содержит системный обработчик ("system helper"), компоненты которого принадлежат пользователю root (используется, когда Flatpak-пакет устанавливается для всех пользователей в системе), возможна организация запуска приложения с флагом setuid root.

Следует отметить, что запуск вредоносного Flatpak-пакета при помощи Flatpak не представляет опасности, так как он запускается в режиме PR_SET_NO_NEW_PRIVS, не допускающем смену привилегий. Но атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Система изолированных контейнеров для графических приложений xdg-app переименована во flatpak
  3. OpenNews: Сформирована стабильная ветка системы самодостаточных пакетов Flatpak 0.8.0
  4. OpenNews: Значительный выпуск системы самодостаточных пакетов Flatpak 0.6.13
  5. OpenNews: Для Flatpak подготовлена технология управляемого доступа к ресурсам вне контейнера
  6. OpenNews: Первый выпуск Flatpak, самодостаточных пакетов для распространения графических приложений
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: flatpak
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:22, 23/06/2017 [ответить] [смотреть все]
  • –5 +/
    .apk
     
  • 1.3, ОМДЗТ, 09:44, 23/06/2017 [ответить] [смотреть все]
  • +8 +/
    содержащего файлы с некорректными правами доступа, например с флагом setuid или открытые всем на запись. После установки такого пакета, подобные файлы сохраняются в локальной системе с теми же правами...
    Серъёзно? Как об этом можно было не подумать? Господи, и они это позиционировали как безопасное решение. Да если там такие нелепые косяки то о чём речь может ттогда идти? autorun туда запихнут теперь?
     
     
  • 2.4, angra, 10:01, 23/06/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уяз... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, X4asd, 10:14, 23/06/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.

    дык в новости уже написали реалистичный сценарий...

    давай я тебе его скопипащу сюда в сообщение:

    """
    атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).
    """

    или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также место действия и название компании где это будет нужно проворачивать?

    # P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная чем "не забыть подумать про SUID и capabilities". а именно: нужно не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может быть запущена на компьютере -- и строют всю безопасность вокруг этого надуманного умозаключения

     
     
  • 4.7, angra, 10:23, 23/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    В этом реалистичном сценарии есть одна проблема - как уговорить другого пользо... весь текст скрыт [показать]
     
     
  • 5.9, Аноним, 10:34, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот это-то как раз в большой организации, где каждый сам себе агроном, проще про... весь текст скрыт [показать]
     
     
  • 6.10, angra, 10:45, 23/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    В большой организации, где сотрудники еще и доверяют друг другу, эта возня со fl... весь текст скрыт [показать]
     
  • 5.13, Аноним, 11:29, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Локальный пользователь - не обязательно человек Или это человек, даже тот же са... весь текст скрыт [показать]
     
  • 5.20, marks, 17:27, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Очень смешно Большинство атак идут методом социальной инженерии ... весь текст скрыт [показать]
     
  • 3.6, Mr. Cake, 10:15, 23/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Админ организации разрешает ставить flatpak-пакеты по запросу они же типа безоп... весь текст скрыт [показать]
     
     
  • 4.8, angra, 10:26, 23/06/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Админ милостиво разрешает сотруднику поставить этот пакет лично для себя В этом... весь текст скрыт [показать]
     
     
  • 5.21, Егор, 19:07, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Да нет, ты неправильно говоришь В большой организации 8482 все подряд пакет... весь текст скрыт [показать]
     
  • 3.22, Lolwat, 20:42, 23/06/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Да и вообще все уязвимости сплошной вымысел, какой идиот в наше время будет поку... весь текст скрыт [показать]
     
  • 2.15, Аноним, 13:13, 23/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Парни не заморачивались и тупо копируют файлы с оригинальными атрибутами По сут... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, proninyaroslav, 10:48, 23/06/2017 [ответить] [смотреть все]  
  • +2 +/
    Монолитные пакеты до добра не доведут.
     
     
  • 2.12, Аноним, 10:58, 23/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Репозитории зато - офигенно 1 Фрагментация 2 Какой-нибудь сторонний репозито... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, OramahMaalhur, 12:24, 23/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Простите, а где монолитные пакеты хранятся, не в репозитории случайно Подключаю... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 13:57, 23/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Разница в том, что ставя какой-нибудь флетпак, ты ставишь только его, когда как ... весь текст скрыт [показать]
     
     
  • 5.18, angra, 15:04, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну давай сюда такую репу для debian, я ее подключу и ты покажешь, как ты при ее ... весь текст скрыт [показать]
     
  • 3.17, Аноним, 14:59, 23/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А вам не кажется, что с Flatpak ом фрагментация та же Только тут производитель... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 12:30, 02/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Зачастую нет ментейнеров для приложения.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor