Retour à l'accueil

Vulnérabilité Flatpak CVE-2026-34078 : évasion de sandbox

Vulnérabilité critique CVE-2026-34078 dans Flatpak permet à l'application d'échapper à la sandbox via symlink dans sandbox-expose. Toutes les versions jusqu'à 1.16.4 affectées. Mise à jour immédiate et audit des manifestes recommandé.

Vulnérabilité Flatpak : évasion complète de sandbox
Advertisement 728x90

CVE-2026-34078 critique : Évasion complète du sandbox Flatpak via lien symbolique

Les versions de Flatpak antérieures à la 1.16.4 sont vulnérables au CVE-2026-34078, permettant à n’importe quelle application d’échapper à son environnement de confinement. Un attaquant peut créer un lien symbolique dans l’option sandbox-expose, que Flatpak autorise et monte comme un chemin arbitraire sur le système hôte. Résultat ? Accès complet en lecture/écriture au système de fichiers hôte et exécution à distance de code avec les privilèges du système.

Les distributions affectées incluent Fedora, Ubuntu, Linux Mint et d'autres. La mise à jour vers la version 1.16.4 élimine cette menace. La faille a été découverte par des chercheurs de Codean Labs grâce à une analyse du Portail Flatpak.

Mécanisme d'exploitation du CVE-2026-34078

Le Portail Flatpak gère les demandes d'accès aux ressources hôte. Dans la directive sandbox-expose, les applications peuvent spécifier des chemins pouvant être des liens symboliques. Le Portail suit ces liens et les monte à l’intérieur du sandbox.

Google AdInline article slot

Exemple d'attaque :

  • L'application crée un lien symbolique : /tmp/evil -> /
  • Elle déclare sandbox-expose=/tmp/evil dans son manifeste
  • Le Portail monte le répertoire racine (/) dans le sandbox
  • Accès total à tout le système de fichiers hôte est accordé

Cela entraîne une exécution à distance de code (RCE) : l’application malveillante peut écrire des scripts shell dans /bin ou modifier des fichiers système critiques.

Liste complète des vulnérabilités corrigées

La version 1.16.4 corrige quatre problèmes :

Google AdInline article slot
  • CVE-2026-34078 (Critique) : Évasion du sandbox via liens symboliques dans sandbox-expose
  • CVE-2026-34079 (Modéré) : Suppression arbitraire de fichiers sur l’hôte
  • GHSA-2fxp-43j9-pwvc (Faible) : Lecture de fichiers dans le contexte system-helper
  • GHSA-89xm-3j9-w3jg (Faible) : Annulation des opérations de téléchargement d’autres utilisateurs

Compromis : Bien que le mécanisme sandbox-expose simplifie les workflows DevOps, il introduit un vecteur d’escalade de privilèges lorsqu’il traite des entrées malveillantes.

Instructions de vérification et de mise à jour

Vérifiez votre version actuelle :

flatpak --version

Commandes de mise à jour selon la distribution :

Google AdInline article slot
  • Fedora/RHEL : sudo dnf update flatpak
  • Ubuntu/Debian : sudo apt update && sudo apt upgrade flatpak
  • Arch : sudo pacman -Syu flatpak

Mesure temporaire (attention : casse les applications dépendantes du Portail) :

sudo systemctl --global mask flatpak-portal.service
systemctl --user stop flatpak-portal.service

Après la mise à jour, redémarrez toutes les applications et services Flatpak.

Impact en production et comparaison avec la conteneurisation

Dans les environnements professionnels, Flatpak est largement utilisé pour les applications bureau sur les stations Linux. Cette vulnérabilité équivaut à une fuite de conteneur Docker sans protections seccomp ou AppArmor.

| Technologie | Modèle d'isolation | Vulnérabilité équivalente |

|------------|------------------|----------------------------|

| Flatpak | Portail + namespaces | Parcours de liens symboliques |

| Snap | AppArmor + namespaces | Aucune (profils stricts) |

| AppImage | Aucun | Pas de confinement |

| Docker | seccomp + namespaces | Échappées de montage |

Performance : Flatpak génère un surcoût I/O de ~5–10 % en raison des appels au Portail. Dans des scénarios à charge élevée comme les fermes VDI, l’exploitation donne accès root à toutes les sessions utilisateur.

Points clés

  • Toute application Flatpak est exploitable — les revues Flathub ne protègent pas contre les menaces zéro-jour.
  • Toutes les distributions antérieures à 1.16.4 sont concernées — mise à jour urgente requise.
  • Désactiver le Portail bloque le vecteur d’attaque mais casse les fonctionnalités UX comme les boîtes de dialogue de fichier ou l'impression.
  • En production : auditez les entrées sandbox-expose dans les manifestes et surveillez les logs de flatpak-portal.
  • Comparaison : Snap avec AppArmor offre une résistance plus forte aux attaques basées sur les liens symboliques.

— Editorial Team

Advertisement 728x90

Lire ensuite