Flatpak 中发现严重漏洞：CVE-2024-42472 (CVSS 10) 导致文件暴露在沙盒之外

flyme 独眼情报 2024-08-16 11:46

Flatpak 是一个流行的 Linux 沙盒桌面应用分发和运行系统，现已发现一个严重的安全漏洞。该漏洞编号为
CVE-2024-42472 (CVSS 10)
，允许恶意或受感染的应用绕过沙盒，未经授权访问指定区域之外的文件。

影响和严重程度

安全研究员 Chris Williams
发现
Flatpak 处理持久目录（用于存储在应用程序会话期间持久存在的数据的目录）的方式存在缺陷。当应用程序配置为使用persistent
( ) 选项时，它应该只能访问其沙盒中的指定子目录。然而，当符号链接替换该
选项–persist
的源目录时，就会出现漏洞。persistent

在这种情况下，下次启动应用程序时，绑定挂载将遵循符号链接，从而可能授予应用程序对符号链接指向的任何文件或目录的访问权限。这有效地绕过了沙盒的限制，允许应用程序在其不应访问的位置读取和写入文件。

该漏洞影响 Flatpak 版本 1.14.8 和 1.15.9 及以上。

影响

CVE-2024-42472 构成重大风险，特别是在受感染或恶意的 Flatpak 应用程序利用此漏洞访问敏感文件（例如 SSH 密钥或存储在沙箱之外的配置文件）的情况下。如果受感染的文件对系统操作至关重要，这可能会导致未经授权的数据访问、数据损坏甚至远程代码执行。

缓解措施和建议

强烈建议用户
尽快将 Flatpak 更新到最新修补版本（ 
1.14.10
或更高版本，或任何版本
1.15.10
persistent
或更高版本）。此外，建议查看使用该权限的已安装应用程序列表，并在向新应用程序授予此权限时要小心谨慎，尤其是来自不受信任来源的应用程序。

手动用符号链接替换 Flatpak 应用程序持久目录的用户在更新后可能会遇到兼容性问题。出于安全原因，持久目录将被忽略，应用程序可能无法保存其状态。运行此类应用程序时，Flatpak 会发出警告，表明不允许使用符号链接。

为了避免这些问题，建议由于空间限制而需要将持久目录移动到另一个文件系统的用户使用绑定挂载而不是符号链接。

漏洞详情：

https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87