El arenero es una mentira.

Casi todas las aplicaciones populares en flathub vienen con filesystem=hostfilesystem=home o device=all permisos, es decir, permisos de escritura en el directorio de inicio del usuario (y más), esto significa que todo lo que se necesita para «escapar de la caja de arena» echo download_and_execute_evil >> ~/.bashrc . Eso es.

Esto incluye Gimp, VSCode, PyCharm, Octave, Inkscape, Steam, Audacity, VLC.

Para empeorar las cosas, los usuarios son engañados al creer que las aplicaciones se ejecutan en un espacio aislado. Para todas estas aplicaciones, flatpak muestra un ícono de «zona de pruebas» al instalar la aplicación (las cosas no mejoran incluso cuando se instalan en la línea de comandos; es necesario conocer los elementos internos de flatpak para comprender las advertencias).

NO estás recibiendo actualizaciones de seguridad

Las aplicaciones oficiales y los tiempos de ejecución son vulnerables a las vulnerabilidades conocidas de ejecución de código fácilmente explotables, algunas de las vulnerabilidades se han conocido (y se han corregido en distribuciones pero no en flatpak) durante medio año.

Sí, es posible que su caja de Linux haya sido comprometida si usa flatpak, literalmente estamos hablando de ataques públicos de varios meses de antigüedad. ¿Alguna vez abrió una imagen en flatpak Gimp? La vulnerabilidad crítica «shell en el fantasma» se solucionó en flatpak aproximadamente un mes después de las distribuciones de Linux.

Vayamos a través de DSA y busquemos algo trivial para explotar.

CVE-2018-11235 reportado y arreglado hace más de 4 meses . Flatpak VSCode, Android Studio y Sublime Text aún utilizan la versión 2.9.3 de git sin parchear. Tenga en cuenta que flatpak PyCharm viene con git 2.19.0 con este problema solucionado pero aún vulnerable a CVE-2018-17456 .

Podemos demostrar esto utilizando Sublime con el complemento GitSavvy con clon recursivo (plugin en https://github.com/divmain/GitSavvy/tree/dev, clone command git: clone recursively, parameter git://flatkill.org/cve-2018-11235).

pwned

¿Explotación de la raíz local? ¡Problema menor!

Hasta 0.8.7, todo lo que se necesitaba para obtener la raíz en el host era instalar un paquete flatpak que contenía un binario suid (los flatpaks están instalados en / var / lib / flatpak en su sistema host). Una vez más, ¿podría ser más fácil? De hecho, se asignó a esta vulnerabilidad un CVE-2017-9780 de alta gravedad (puntaje CVSS 7.2). Los desarrolladores de Flatpak consideran esto como un problema menor de seguridad.

¿Futuro de distribución de aplicaciones?

¡Esperemos que no! Lamentablemente, es obvio que los desarrolladores de Red Hat que trabajan en Flatpak no se preocupan por la seguridad, pero el objetivo autoproclamado es reemplazar la distribución de aplicaciones de escritorio, una piedra angular de la seguridad de Linux.

Y no se trata solo de estos problemas de seguridad. ¿Ejecutando aplicaciones KDE en fakepak? Olvídate de la integración de escritorio (ni siquiera el tamaño de la fuente ). ¿Necesitas ingresar caracteres chinos / japoneses / coreanos? Olvídate de eso también – fcitx se ha roto desde flatpak 1.0 , nunca se ha corregido desde entonces.

La forma en que empaquetamos y distribuimos las aplicaciones de escritorio en Linux seguramente debe replantearse, lamentablemente flatpak está introduciendo más problemas de los que está resolviendo.

Fuente: Flatkill.org

Compartir