The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

07.01.2017 23:42  Серия уязвимостей в Firejail

В системе для изолированного выполнения приложений Firejail выявлено девять уязвимостей, большинство из которых позволяют повысить свои привилегии в основной системе до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Как оказалось безопасность Firejail находится в весьма печальном состоянии и многие опции и пользовательские данные обрабатываются под euid 0.

Первой была опубликована информация об уязвимости CVE-2017-5180, найденной участниками SuSE Security Team и использующей манипуляцию с файлом /etc/ld.so.preload для запуска своего кода с правами root. Следом было выявлено ещё шесть уязвимостей, позволяющих совершить атаку через манипуляцию с tmpfs (CVE-2016-10117, CVE-2016-10119), переписать /etc/resolv.conf (CVE-2016-10118), получить полный доступ к системным файлам из-за монтирования /dev, /dev/shm, /var/tmp и /var/lock в режиме 0777 (CVE-2016-10120, CVE-2016-10121) и выполнить код с правами root из-за неочистки переменных окружения (CVE-2016-10122) и из-за возможности использования режима "--chroot" без seccomp (CVE-2016-10123).

Например, firejail позволяет непривилегированному пользователю примонтировать tmpfs-раздел для любой директории, в том числе прикрепить свой tmpfs-раздел вместо /etc - "firejail --noprofile --tmpfs=/etc". Или можно загрузить с правами root стороннюю библиотеку из-за неочистки переменной окружения LD_PRELOAD при запуске программ в режиме x11 (X-сервер запускается с правами root) - "firejail --x11=xorg --env=LD_PRELOAD=$PWD/rootshell.so". В дополнение было выявлено ещё две уязвимости: выход из изолированного окружения через ptrace при запуске в режиме "--allow-debuggers" (CVE-2017-5207) и выполнение кода с правами root через манипуляции с опциями --bandwidth и --shell (CVE-2017-5206).

Дополнение: Вышли обновления firejail 0.9.38.8 и 0.9.44.4, в которых устранены три опасные уязвимости (CVE-2017-5207, CVE-2017-5206, CVE-2017-5180).

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Обновление системы изоляции приложений Firejail 0.9.42
  3. OpenNews: Доступна система изоляции приложений Firejail 0.9.40
  4. OpenNews: Выпуск Firejail 0.9.38, инструмента для изоляции приложений
  5. OpenNews: Критическая уязвимость в OverlayFS, позволяющая поднять свои привилегии в Ubuntu
  6. OpenNews: Root-уязвимость из-за некорректных настроек в пакете nginx для Debian и Ubuntu
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: firejail
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, НовыйЮзер, 00:05, 08/01/2017 [ответить] [смотреть все]
  • –1 +/
    Красота. Недавно читал про сабж - думал может пригодится, а вот оно как...
     
     
  • 2.18, anonymous, 16:02, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    С самим sandbox там всё в порядке, судя по всему Суть уязвимостей в том, что за... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, anonymous, 21:01, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Беда в том, что firejail - suid Если похакают твоего пользователя, то используя... весь текст скрыт [показать]
     
     
  • 4.48, Аноним, 18:28, 09/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    >Беда в том, что firejail - suid

    на лоре советуют bubblewrap

     
  • 1.2, Аноним, 00:24, 08/01/2017 [ответить] [смотреть все]  
  • +12 +/
    Ирония в том, что самые нелепые уязвимости вылезают в программах для повышения безопасности.
     
     
  • 2.3, botman, 01:14, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Поэтому sudo предпочитаю su Говорят так лучше с точки зрения безопасности, хоть... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 10:42, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Чушь какая sudo по определению даёт меньше прав, чем su И потом, нужно огранич... весь текст скрыт [показать]
     
  • 2.9, Анонимс, 05:11, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    по-моему, здесь разница в том, кто делал - системный программист или прикладн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, botman, 13:24, 08/01/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    если уязвимость с повышением прав до root была в ядре - фиолетово
     
     
  • 4.45, Аноним, 05:30, 09/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Оно как бы да, но в силу специфики ядерщики пишут код получше, что ни говори А ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 02:03, 08/01/2017 [ответить] [смотреть все]  
  • –2 +/
    Я использую firejail, уязвимости с удаленным исправлением кода есть?
     
     
  • 2.27, Анонимаа, 20:37, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Исполенение кода в твоем браузере - не удаленное Лень метаться пока эксперты бо... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 03:04, 08/01/2017 [ответить] [смотреть все]  
  • +/
    А в новости про автокликер баннеров https www opennet ru opennews art shtml n... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 03:11, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Эксплоит-паку в данном случае нужно будет предолеть ещё и firejail Т е должен ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Аноним, 04:03, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Что мешает делать бомбовую атаку из исплоитов?
     
     
  • 4.11, tellur, 10:19, 08/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Что мешает делать бомбовую атаку из исплоитов?

    Нежелание палить все карты.

     
     
  • 5.46, Аноним, 05:41, 09/01/2017 [^] [ответить] [смотреть все]  
  • +/
    И повышение вероятности treason uncloaked Ну как, если вы перочинный ножик в... весь текст скрыт [показать]
     
  • 4.47, iPony, 08:55, 09/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну учитывая, что речь была про линуксы, то экономическая целесообразность Сплои... весь текст скрыт [показать]
     
  • 3.13, Аноним, 11:23, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Если firejail работает под рутом то нужно преодолеть только firejail.
     
     
  • 4.19, Аноним, 16:27, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Он не работает под рутом Так что нужно попотеть, чтобы рутовый доступ ещё получ... весь текст скрыт [показать]
     
  • 4.44, Аноним, 05:25, 09/01/2017 [^] [ответить] [смотреть все]  
  • +/
    А ничего что конфигурирование контейнера таки требует повышенных прав ... весь текст скрыт [показать]
     
  • 2.16, IB, 14:28, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не читатели Уязвимость в утилите firejail, а не в контейнере Подсунув ей заточ... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 09:54, 08/01/2017 [ответить] [смотреть все]  
  • +/
    Интересно, в убунте скоро исправят?
     
  • 1.22, gre, 17:36, 08/01/2017 [ответить] [смотреть все]  
  • –1 +/
    Доизолировались.
     
  • 1.26, Tyuiop, 19:03, 08/01/2017 [ответить] [смотреть все]  
  • –1 +/
    Внимательно посмотрел на номера уязвимостей, в том числе исправленных. Много думал.
     
     
  • 2.33, Аноним, 20:49, 08/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А что там странного, номера CVE не назначаются по порядку Red Hat выдаёт номера... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, rshadow, 22:40, 08/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Иногда лучше один раз прочитать, чем семь раз подумать =)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList