Yo te idantifye yon vilnerabilite (CVE-2022-31214) nan sèvis piblik izolasyon aplikasyon Firejail ki pèmèt yon itilizatè lokal jwenn privilèj rasin sou sistèm lame a. Gen yon eksplwatasyon k ap travay ki disponib nan domèn piblik la, ki teste nan vèsyon aktyèl openSUSE, Debian, Arch, Gentoo ak Fedora ak sèvis piblik firejail la enstale. Pwoblèm nan fiks nan firejail 0.9.70 lage. Kòm yon solisyon pou pwoteksyon, ou ka mete paramèt "join no" ak "force-nonewprivs wi" nan paramèt yo (/etc/firejail/firejail.config).
Firejail sèvi ak espas non, AppArmor, ak filtè apèl sistèm (seccomp-bpf) nan Linux pou izòlman, men li mande privilèj elve pou mete ekzekisyon izole, ke li genyen nan lyezon ak rasin suid drapo sèvis piblik la oswa kouri ak sudo. Se yon erè nan lojik opsyon "--join=" ki te koze vilnerabilite a, ki gen entansyon pou konekte ak yon anviwonman izole ki deja ap fonksyone (analòg ak kòmandman koneksyon an pou yon anviwònman sandbox) ak anviwònman an detèmine pa la. ID pwosesis ap kouri nan li. Pandan faz reset anvan privilèj la, firejail detèmine privilèj pwosesis espesifye a epi aplike yo nan nouvo pwosesis ki konekte ak anviwònman an lè l sèvi avèk opsyon "-join" la.
Anvan konekte, li tcheke si pwosesis espesifye a ap kouri nan anviwònman firejail la. Chèk sa a evalye prezans dosye /run/firejail/mnt/join. Pou eksplwate vilnerabilite a, yon atakè ka similye yon anviwònman firejail fiktif, ki pa izole lè l sèvi avèk espas non mòn lan, epi konekte li avèk opsyon "--join" la. Si paramèt yo pa pèmèt mòd pou entèdi akizisyon de privilèj adisyonèl nan nouvo pwosesis (prctl NO_NEW_PRIVS), firejail pral konekte itilizatè a nan yon anviwònman egare epi eseye aplike paramèt espas non itilizatè a nan pwosesis init la (PID 1).
Kòm yon rezilta, pwosesis la konekte atravè "firejail -join" pral fini nan espas non itilizatè orijinal ID itilizatè a ak privilèj ki pa chanje, men nan yon espas diferan pwen mòn, konplètman kontwole pa atakè a. Yon atakè kapab tou egzekite pwogram setuid-rasin nan espas pwen mòn li te kreye a, sa ki pèmèt, pou egzanp, chanje paramèt /etc/sudoers oswa paramèt PAM nan yerachi fichye li epi li kapab egzekite kòmandman ak dwa rasin lè l sèvi avèk sudo oswa sèvis piblik yo.
Sous: opennet.ru