Kritická chyba Flatpak CVE-2026-34078: úplný únik z pískoviště prostřednictvím symbolických odkazů
Flatpak verze před 1.16.4 je zranitelný vůči CVE-2026-34078, která umožňuje jakémukoli aplikaci opustit izolované prostředí pískoviště. Útočník vytvoří symbolický odkaz v možnosti sandbox-expose, kterou Flatpak povolí a připojí jako libovolnou cestu na hostitelském systému. Výsledkem je čtení a zápis souborů systému a spouštění kódu s oprávněními hostitele.
Postiženy jsou distribuce Fedora, Ubuntu, Linux Mint a další. Aktualizace na verzi 1.16.4 odstraňuje hrozbu. Mechanismus byl objeven výzkumníky z Codean Labs prostřednictvím Flatpak Portalu.
Mechanismus využití CVE-2026-34078
Flatpak Portal zpracovává požadavky na přístup k prostředkům hostitelského systému. V parametru sandbox-expose může aplikace uvést cesty, které mohou být symbolickými odkazy. Portal následuje tyto odkazy a připojuje cílovou cestu uvnitř pískoviště.
Příklad útoku:
- Aplikace vytvoří symbolický odkaz
/tmp/evil -> / - Uvede
sandbox-expose=/tmp/evilv manifetu - Portal připojí kořenový adresář
/do pískoviště - Plný přístup ke filesystemu hostitele
Toto vede k RCE: aplikace může zapsat shell skript do /bin nebo upravit systémové soubory.
Kompletní seznam zranitelností
Vydání 1.16.4 uzavřelo čtyři problémy:
- CVE-2026-34078 (Kritická): Únik z pískoviště prostřednictvím symbolických odkazů v
sandbox-expose - CVE-2026-34079 (Střední): Libovolné mazání souborů na hostitelském systému
- GHSA-2fxp-43j9-pwvc (Nízká): Čtení souborů v kontextu system-helper
- GHSA-89xm-3j9-w3jg (Nízká): Zrušení tahu jiných uživatelů
Kompromis: mechanika sandbox-expose usnadňuje DevOps práci, ale vytváří vektor pro zvýšení oprávnění při špatném vstupu.
Ověření a aktualizace systému
Zkontrolujte verzi:
flatpak --version
Aktualizace podle distribuce:
- Fedora/RHEL:
sudo dnf update flatpak - Ubuntu/Debian:
sudo apt update && sudo apt upgrade flatpak - Arch:
sudo pacman -Syu flatpak
Dočasné zmírnění (kompromis: poruší aplikace závislé na portalu):
sudo systemctl --global mask flatpak-portal.service
systemctl --user stop flatpak-portal.service
Po aktualizaci restartujte aplikace a služby.
Dopad na produkční prostředí a porovnání kontejnerizace
V enterprise prostředích se Flatpak používá pro desktopové aplikace na Linux stanicích. Tato zranitelnost je ekvivalentní breakout z kontejneru v Dockeru bez seccomp/AppArmor.
| Technologie | Izolace | Analogická zranitelnost |
|------------|----------|-------------------|
| Flatpak | Portal + namespaces | Průchod symbolickými odkazy |
| Snap | AppArmor + namespaces | Žádná (přísné profily) |
| AppImage | Žádná | Žádné pískoviště |
| Docker | seccomp + namespaces | Únik přes připojení |
Výkon: Overhead Flatpak ~5–10 % při I/O kvůli voláním portálu. V high-load scénářích (VDI farmy) znamená únik root přístup na všech relacích.
Co je důležité
- Každá Flatpak aplikace je využitelná; revize Flathub neposkytuje ochranu proti zero-day útokům
- Postiženy všechny distribuce před verzí 1.16.4 – priorita aktualizace
- Zakázání portálu blokuje vektor, ale narušuje uživatelské prostředí (dialogy souborů, tisk)
- V produkci: auditujte
sandbox-exposev maniftech, monitorujte logy flatpak-portal - Porovnání: Snap s AppArmor je odolnější vůči útokům přes symbolické odkazy
— Editorial Team
Zatím žádné komentáře.