Krytyczna luka w Flatpak CVE-2026-34078: pełne przejście przez sandbox przez symlinki
Flatpak wersji poniżej 1.16.4 jest narażony na lukę CVE-2026-34078, która pozwala dowolnej aplikacji wyjść poza środowisko izolowane (sandbox). Atakujący tworzy symlink w opcji sandbox-expose, którą Flatpak zezwala i montuje jako dowolny katalog hosta. W rezultacie możliwa jest odczyt i zapis plików systemu oraz wykonanie kodu z uprawnieniami właściciela hosta.
Dotknięte są dystrybucje takie jak Fedora, Ubuntu, Linux Mint i inne. Aktualizacja do wersji 1.16.4 usuwa zagrożenie. Mechanizm został odkryty przez badaczy z Codean Labs.
Mechanizm wykorzystania CVE-2026-34078
Flatpak Portal obsługuje żądania dostępu do zasobów hosta. W polu sandbox-expose aplikacja może podać ścieżki, które mogą być symlinkami. Portal następuje za tymi linkami i montuje cel wewnątrz sandboxa.
Przykład ataku:
- Aplikacja tworzy symlink
/tmp/evil -> / - W manifeście określa
sandbox-expose=/tmp/evil - Portal montuje katalog
/w środowisku sandbox - Pełny dostęp do systemu plików hosta
Wynik: RCE — aplikacja może zapisać skrypt shellowy w /bin lub zmodyfikować pliki systemowe.
Pełna lista luk
W wydaniu 1.16.4 zamknięto cztery problemy:
- CVE-2026-34078 (Krytyczna): Przejście przez sandbox przez symlinki w
sandbox-expose - CVE-2026-34079 (Średnia): Dowolne usuwanie plików na hoście
- GHSA-2fxp-43j9-pwvc (Niska): Odczyt plików w kontekście system-helper
- GHSA-89xm-3j9-w3jg (Niska): Anulowanie operacji pobierania innych użytkowników
Zalety i ryzyko: mechanizm sandbox-expose ułatwia pracę DevOps, ale stwarza wektor eskalacji uprawnień przy szkodliwym wejściu.
Sprawdzenie i aktualizacja systemu
Sprawdź wersję:
flatpak --version
Aktualizacja według dystrybucji:
- Fedora/RHEL:
sudo dnf update flatpak - Ubuntu/Debian:
sudo apt update && sudo apt upgrade flatpak - Arch:
sudo pacman -Syu flatpak
Tymczasowe ograniczenie (kompromis: łamie działanie aplikacji zależnych od portalu):
sudo systemctl --global mask flatpak-portal.service
systemctl --user stop flatpak-portal.service
Po aktualizacji uruchom ponownie aplikacje i usługi.
Wpływ na środowiska produkcyjne i porównanie technologii kontenerowych
W środowiskach enterprise Flatpak służy do uruchamiania aplikacji desktopowych na stacjach Linux. Luka jest równoważna przejściu przez kontener w Docker bez seccomp/AppArmor.
| Technologia | Izolacja | Analogiczna luka |
|------------|----------|-------------------|
| Flatpak | Portal + namespaces | Przechodzenie przez symlinki |
| Snap | AppArmor + namespaces | Brak (ścisłe profile) |
| AppImage | Brak | Brak sandbox |
| Docker | seccomp + namespaces | Ucieczki mount |
Wydajność: narzut Flatpak wynosi ok. 5–10% przy I/O z powodu wywołań portalu. W scenariuszach wysokiego obciążenia (np. farmy VDI) przejście daje dostęp roota do wszystkich sesji.
Co ważne
- Każda aplikacja Flatpak jest wykorzystywalna; przeglądarka Flathub nie chroni przed zero-day
- Dotknięte są wszystkie dystrybucje do wersji 1.16.4 — priorytetowa aktualizacja
- Wyłączenie portalu blokuje wektor, ale narusza UX (okna dialogowe plików, drukowanie)
- W środowiskach produkcyjnych: audyt
sandbox-exposew manifeście, monitorowanie logów flatpak-portal - Porównanie: Snap z AppArmor jest bardziej odporny na ataki typu symlink
— Editorial Team
Brak komentarzy.