Chaidh so-leòntachd (CVE-2022-31214) a chomharrachadh ann an goireas iomallachd tagradh Firejail a leigeas le neach-cleachdaidh ionadail sochairean bunaiteach fhaighinn air an t-siostam aoigheachd. Tha brath obrach ri fhaighinn san raon phoblach, air a dhearbhadh ann an fiosan gnàthach openSUSE, Debian, Arch, Gentoo agus Fedora leis a’ ghoireas firejail air a chuir a-steach. Tha a’ chùis stèidhichte ann an sgaoileadh firejail 0.9.70. Mar fhuasgladh dìon, faodaidh tu na paramadairean “join no” agus “force-nonewprivs tha” a shuidheachadh anns na roghainnean (/etc/firejail/firejail.config).
Bidh Firejail a’ cleachdadh ainmean-àite, AppArmor, agus sìoladh gairm siostam (seccomp-bpf) ann an Linux airson aonaranachd, ach tha feum air sochairean àrdaichte gus cur gu bàs iomallach a stèidheachadh, a gheibh e tro cheangal ri freumh suid bratach goireasach no ruith le sudo. Tha an so-leòntachd air adhbhrachadh le mearachd ann an loidsig an roghainn “--join =”. ", a thathar an dùil airson ceangal ri àrainneachd iomallach a tha a' ruith mar-thà (co-ionann ris an àithne logadh a-steach airson àrainneachd bogsa gainmhich) leis a' mhìneachadh air an àrainneachd leis an aithnichear pròiseas a tha a' ruith innte. Rè an ìre ath-shuidheachadh ro-sochair, bidh firejail a 'dearbhadh sochairean a' phròiseas ainmichte agus gan cur an sàs anns a 'phròiseas ùr a tha ceangailte ris an àrainneachd a' cleachdadh an roghainn "-join".
Mus tèid a cheangal, bidh e a’ sgrùdadh a bheil am pròiseas ainmichte a’ ruith ann an àrainneachd firejail. Bidh an sgrùdadh seo a’ measadh làthaireachd an fhaidhle /run/firejail/mnt/join. Gus brath a ghabhail air an so-leòntachd, faodaidh neach-ionnsaigh àrainneachd prìosanach meallta, neo-aonaranach a shamhlachadh a’ cleachdadh an mount namespace, agus an uairsin ceangal ris a’ cleachdadh an roghainn “--join”. Mura leig na roghainnean am modh casg air sochairean a bharrachd fhaighinn ann am pròiseasan ùra (prctl NO_NEW_PRIVS), ceangailidh firejail an neach-cleachdaidh ri àrainneachd meallta agus feuchaidh e ri roghainnean ainm-cleachdaidh a’ phròiseas init (PID 1) a chuir an sàs.
Mar thoradh air an sin, thig am pròiseas ceangailte tro “firejail -join” gu crìch ann an àite ainm ID cleachdaiche tùsail an neach-cleachdaidh le sochairean gun atharrachadh, ach ann an àite puing sreap eadar-dhealaichte, fo smachd an neach-ionnsaigh gu tur. Faodaidh neach-ionnsaigh cuideachd prògraman setuid-root a chuir an gnìomh anns an àite mount point a chruthaich e, a leigeas, mar eisimpleir, na roghainnean / etc/sudoers atharrachadh no paramadairean PAM anns an rangachd faidhle aige agus a bhith comasach air òrdughan a chuir an gnìomh le còraichean freumh a’ cleachdadh an sudo no su goireasan.
Source: fosgailtenet.ru