Qualys di pakêta snap-confine û systemd-tmpfiles a Ubuntuyê de qelsiyek (CVE-2026-3888) tespît kiriye, ku rê dide bikarhênerek bêmaf ku gihîştina root a pergalê bi dest bixe. Pirsgirêk di mîhengên xwerû yên Ubuntuyê de ku ji guhertoya 24.04 dest pê dike, xwe nîşan dide. Di Ubuntu 16.04-22.04 de, qelsiya dikare di mîhengên ne-xwerû de were bikar anîn ku tevgera guhertoyên nûtir ên belavkirinê dişibin hev. Çareseriyek ji bo Ubuntuyê di nûvekirina pakêta snapd a duh de heye. Pirsgirêk di nûvekirina snapd 2.75 de hate çareser kirin.
Ev lawazî ji ber têkiliyeke xelet di navbera amûrên snap-confine û systemd-tmpfiles de derdikeve holê, ku her du jî bi mafên bilind dixebitin. Snap-confine ji bo xebitandina sepaneke snap hawîrdorek sandboxê diafirîne, di heman demê de systemd-tmpfiles bixweber pel û peldankên demkî paqij dike. Bi xwerû, systemd-tmpfiles ji bo jêbirina hemî pel û peldankên kevin ên di /tmp de hatî mîheng kirin, ku dikare ji hêla êrîşkarek ve were bikar anîn da ku peldanka /tmp/.snap piştî ku ji hêla systemd-tmpfiles ve hatî jêbirin lê berî ku ji hêla snap-confine ve ji nû ve were afirandin biguhezîne.
Êrîş ji li bendê mayîna pêvajoya paqijkirina pelên demkî pêk tê, guhertina pelrêça /tmp/.snap piştî ku ew hat jêbirin, û danîna kopiyek guhertî ya pirtûkxaneyan di /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange de. Dibe ku êrîşkar neçar bimîne ku çend rojan li bendê bimîne da ku systemd-tmpfiles dest pê bike, ji ber ku pêvajoya paqijkirinê di Ubuntu 24.04 de her 10 rojan û di guhertoyên nûtir de her 30 rojan dimeşe. Piştî guhertina pelrêçê, êrîşkar bi karanîna snap-confine hawîrdorek sandboxek nû dest pê dike.
Dema ku barkirina jîngeha sandboxê di peldanka demkî /tmp/.snap de tê çêkirin, êrîşkar li benda kêliya rast dimîne û navê /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange diguherîne /tmp/.snap/usr/lib/x86_64-linux-gnu, bi vî rengî pirtûkxaneyan diguherîne û girêdana wan bi mafên root misoger dike. Ev yek kontrolê dide êrîşkar li ser pirtûkxaneyên hevpar û barkera ld.so ya ku di jîngeha sandboxê ya snap de dixebite û dihêle ku ew bi xebitandina her bernameyek suid ku girêdana dînamîk bikar tîne, koda kêfî bi mafên root bicîh bînin.
Bi gihîştina root di hawîrdorek sandboxê de ku ji hêla AppArmor ve tê veqetandin û fîlterek banga pergalê ya li ser bingeha seccomp-ê, êrîşkar dikare /bin/bash li peldanka /var/snap/$SNAP/common/ kopî bike û destûrên wê li ser "04755" (suid root) destnîşan bike. Her çend destûr di hawîrdora sandboxê de werin guhertin jî, pelê bi destûrên guhertî li ser pergala mêvandar jî dikare were gihîştin. Ji ber vê yekê, ji bo bidestxistina gihîştina root a tevahî, tenê /var/snap/<snap_package_name>/common/bash wekî bikarhênerek birêkûpêk û bê îmtiyaz ji hawîrdora pergala xwerû bimeşînin.
Her wiha di zincîra amûran a uutils coreutils (Rust Coreutils) de, ku hevwateyek pakêta GNU Coreutils a li ser bingeha Rust-ê ye, qelsiyek hat dîtin. Ev qelsî dihêle ku bikarhênerek bêmaf mafên root bi dest bixe. Pirsgirêk di dema guhertina Ubuntu 25.10 de hat dîtin û bi çareseriyek beriya berdana Ubuntu 25.10 bi belavkirina /usr/bin/gnurm li şûna uutils rm hat çareser kirin. Pirsgirêk di berdana uutils coreutils 0.3.0 ya pakêtê de hat çareser kirin, bêyî ku kêmkirina qelsiyê di guhertina tomarê de were destnîşankirin (hat dîtin ku rm, du, chmod, û chgrp rêbazek derbasbûna rêyek ewle bicîh anîne).
Ev pirsgirêk ji ber şertek nijadperestiyê di amûra "rm" de çêdibe, ku dihêle bikarhênerek herêmî dema ku pelek ji hêla bikarhêner ve tê kontrol kirin bi karanîna pêvajoya "rm" bi mafên root jê dibe, naveroka peldankek bi girêdanek sembolîk biguhezîne. Di nav tiştên din de, qelsiya dikare bi xebitandina skrîptê /etc/cron.daily/apport rojane ji cron were bikar anîn. Ev skrîpt, ku bi mafên root tê xebitandin, bi awayekî dubare naveroka peldanka /var/crash jê dibe, ku ji hêla hemî bikarhênerên li ser pergalê ve dikare were nivîsandin.
Dema ku peldank bi awayekî dubarekirî têne jêbirin, amûra rm pêşî hemî peldankan dişopîne û dûv re bi rêzek berevajî bi gazîkirina fonksiyona rmdir() wan bi rêzek berevajî jê dibe. Ger peldankek dêûbav di cih de piştî şopandina wê peldankê lê berî şopandina peldankên wê yên zarok bi girêdanek sembolîk were guheztin, operasyon dê bibe sedema jêbirina peldanka ku ji hêla girêdana sembolîk ve tê destnîşan kirin. Ev ne tenê rê dide jêbirina her pelê li ser pergalê, lê di heman demê de rê dide zêdebûna îmtiyazan bi jêbirina peldanka /tmp/snap-private-tmp/$SNAP/tmp/.snap da ku naveroka jîngeha sandbox a pakêta snap biguhezîne (rêbaza bidestxistina root dişibihe qelsiya yekem).
Source: opennet.ru
