The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.06.2017 09:08  Уязвимость во Flatpak, позволяющая повысить привилегии в системе

В системе Flatpak, предоставляющей средства для создания самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном изолированном контейнере, выявлена опасная уязвимость (CVE-2017-9780), позволяющая повысить свои привилегии в системе. Проблема устранена в выпуске Flatpak 0.8.7 и 0.9.6, а также в пакетах для Debian. Уязвимость пока остаётся неисправленной в репозиториях Fedora и Ubuntu.

Уязвимость позволяет подготовить вредоносный Flatpak-пакет, содержащего файлы с некорректными правами доступа, например с флагом setuid или открытые всем на запись. После установки такого пакета, подобные файлы сохраняются в локальной системе с теми же правами, что позволяет локальному атакующему добиться выполнения поставляемого в пакете исполняемого файла с флагом suid или организовать запись в области, доступные всем на запись. В случае, когда Flatpak-пакет содержит системный обработчик ("system helper"), компоненты которого принадлежат пользователю root (используется, когда Flatpak-пакет устанавливается для всех пользователей в системе), возможна организация запуска приложения с флагом setuid root.

Следует отметить, что запуск вредоносного Flatpak-пакета при помощи Flatpak не представляет опасности, так как он запускается в режиме PR_SET_NO_NEW_PRIVS, не допускающем смену привилегий. Но атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Система изолированных контейнеров для графических приложений xdg-app переименована во flatpak
  3. OpenNews: Сформирована стабильная ветка системы самодостаточных пакетов Flatpak 0.8.0
  4. OpenNews: Значительный выпуск системы самодостаточных пакетов Flatpak 0.6.13
  5. OpenNews: Для Flatpak подготовлена технология управляемого доступа к ресурсам вне контейнера
  6. OpenNews: Первый выпуск Flatpak, самодостаточных пакетов для распространения графических приложений
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: flatpak
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:22, 23/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –5 +/
    .apk
     
     
  • 2.19, Аноним (-), 15:20, 23/06/2017 [^] [ответить]    [к модератору]
  • +5 +/
    .AppImage
     
  • 1.3, ОМДЗТ (?), 09:44, 23/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    содержащего файлы с некорректными правами доступа, например с флагом setuid или открытые всем на запись. После установки такого пакета, подобные файлы сохраняются в локальной системе с теми же правами...
    Серъёзно? Как об этом можно было не подумать? Господи, и они это позиционировали как безопасное решение. Да если там такие нелепые косяки то о чём речь может ттогда идти? autorun туда запихнут теперь?
     
     
  • 2.4, angra (ok), 10:01, 23/06/2017 [^] [ответить]    [к модератору]
  • +/
    Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.
     
     
  • 3.5, X4asd (ok), 10:14, 23/06/2017 [^] [ответить]    [к модератору]
  • +6 +/
    > Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.

    дык в новости уже написали реалистичный сценарий...

    давай я тебе его скопипащу сюда в сообщение:

    """
    атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).
    """

    или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также место действия и название компании где это будет нужно проворачивать?

    # P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная чем "не забыть подумать про SUID и capabilities". а именно: нужно не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может быть запущена на компьютере -- и строют всю безопасность вокруг этого надуманного умозаключения

     
     
  • 4.7, angra (ok), 10:23, 23/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    В этом "реалистичном" сценарии есть одна проблема - как уговорить другого пользователя и тем более рута поставить твой пакет.
     
     
  • 5.9, Аноним (-), 10:34, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Вот это-то как раз в большой организации, где каждый сам себе агроном, проще простого. Он даже несчастный нигерийский вирус три дня канпелировать будет
     
     
  • 6.10, angra (ok), 10:45, 23/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    В большой организации, где сотрудники еще и доверяют друг другу, эта возня со flatpack нафиг не нужна. Можно просто дать коллеге "полезный" бинарь или даже скрипт для запуска напрямую.
     
  • 5.13, Аноним (-), 11:29, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Локальный пользователь - не обязательно человек. Или это человек, даже тот же самый, которого поимели через браузер.
     
  • 5.20, marks (?), 17:27, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >>как уговорить другого пользователя и тем более рута поставить твой пакет.

    Очень смешно. Большинство атак идут методом социальной инженерии.

     
  • 3.6, Mr. Cake (?), 10:15, 23/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Админ организации разрешает ставить flatpak-пакеты по запросу (они же типа безопасные и вообще). Сотрудник с непривилегированым аккаунтом просит админа поставить flatpak пакет с таким чудесным файлом. Сотрудник получает root-доступ.
    А у админа локалхоста да, сценариев особо и нет.
     
     
  • 4.8, angra (ok), 10:26, 23/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > Сотрудник с непривилегированым аккаунтом просит админа поставить flatpak пакет с таким чудесным файлом

    Админ милостиво разрешает сотруднику поставить этот пакет лично для себя. В этом ведь и прелесть flatpak. Теперь хитрый сотрудник может получит suid ... на самого себя. Победа!

     
     
  • 5.21, Егор (??), 19:07, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Да нет, ты неправильно говоришь! В "большой организации"™ все подряд пакеты, даже флатпаки ставятся рутом, у нас лучшие практики, ты уж мне поверь! А если не поверишь, то тогда я полный бред написал, не может же быть такого! Пакет не от рута поставить невозможно...
     
  • 3.22, Lolwat (?), 20:42, 23/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Да и вообще все уязвимости сплошной вымысел, какой идиот в наше время будет покупать компьютер, или ещё чего хуже подключать его к сети... бред полый... Прото эти западные хипстеры пугают нас всякой гадостью типа опсных уязвимостях... вот есть лопата, ей всякие setuid не страшны
     
  • 2.15, Аноним (-), 13:13, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Парни не заморачивались и тупо копируют файлы с оригинальными атрибутами. По сути их нужно пропускать как и в во время сборки архива. И верифицировать что их нет после установки.
     
  • 2.39, Фуррь (ok), 10:20, 24/10/2017 [^] [ответить]    [к модератору]  
  • +/
    >Серъёзно? Как об этом можно было не подумать?

    Какие мы все умные, с берега-то лучше видно, что на корабле всё не так, как надо.

     
  • 1.11, proninyaroslav (ok), 10:48, 23/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Монолитные пакеты до добра не доведут.
     
     
  • 2.12, Аноним (-), 10:58, 23/06/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Репозитории зато - офигенно.
    1. Фрагментация
    2. Какой-нибудь сторонний репозиторий с темой легко может запушить тебе апдейт ядра, которое в фоне будет майнить ему новую модную криптовалюту.
     
     
  • 3.14, OramahMaalhur (ok), 12:24, 23/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Репозитории зато - офигенно.

    Простите, а где монолитные пакеты хранятся, не в репозитории случайно?

    > Какой-нибудь сторонний репозиторий с темой легко

    Подключающие всякие дотдебы и прочие неофициального происхождения репы ССЗБ. Какой-нибудь сторонний флатпак тоже может легко установить криптомайнер.

     
     
  • 4.16, Аноним (-), 13:57, 23/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Разница в том, что ставя какой-нибудь флетпак, ты ставишь только его, когда как подключенный реп может обновить любой пакет в твоей системе в любое удобное для него время.
     
     
  • 5.18, angra (ok), 15:04, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну давай сюда такую репу для debian, я ее подключу и ты покажешь, как ты при ее помощи обновишь любой пакет в моей системе в любое удобное для тебя время.
    Про то, что это вообще не имеет смысла, так как при контроле на репой есть куда более простые и менее заметные способы внедрения трояна, пока говорить не будем.
     
  • 3.17, Аноним (-), 14:59, 23/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    А вам не кажется, что с Flatpak ом фрагментация та же Только тут производитель... весь текст скрыт [показать]
     
     
  • 4.38, Аноним (-), 12:30, 02/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Зачастую нет ментейнеров для приложения.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor