Misy vulnerability (CVE-2022-31214) hita ao amin'ny fampiharana fitokana-monina Firejail izay ahafahan'ny mpampiasa eo an-toerana mahazo tombontsoa faka amin'ny rafitra mpampiantrano. Misy fitrandrahana miasa azo alaina amin'ny sehatra ho an'ny daholobe, voasedra amin'ny famoahana ankehitriny ny openSUSE, Debian, Arch, Gentoo ary Fedora miaraka amin'ny fampitaovana firejail napetraka. Ny olana dia raikitra amin'ny famoahana firejail 0.9.70. Amin'ny maha-fiarovana azy dia azonao atao ny mametraka ny masontsivana "join no" sy "force-nonewprivs yes" ao amin'ny toe-javatra (/etc/firejail/firejail.config).
Firejail dia mampiasa namespaces, AppArmor, ary sivana antso an-tariby (seccomp-bpf) ao amin'ny Linux mba hitokana-monina, saingy mitaky tombontsoa ambony amin'ny fametrahana famonoana mitokana, izay azony amin'ny alΓ lan'ny famatorana ny sainam-pirenena suid root na mihazakazaka miaraka amin'ny sudo. Ny vulnerability dia vokatry ny hadisoana amin'ny lojika amin'ny safidy "--join=", natao hampifandraisana amin'ny tontolo mitoka-monina efa mandeha (mitovy amin'ny baiko fidirana ho an'ny tontolon'ny sandbox) miaraka amin'ny tontolo nofaritan'ny process ID mandeha ao anatiny. Mandritra ny dingana famerenana mialoha ny tombontsoa, ββny firejail dia mamaritra ny tombontsoa amin'ny dingana voafaritra ary mampihatra izany amin'ny dingana vaovao izay mifandray amin'ny tontolo iainana amin'ny fampiasana ny safidy "-join".
Alohan'ny hifandraisana dia manamarina raha mandeha ao amin'ny tontolon'ny firejail ny dingana voatondro. Ity fanamarinana ity dia manombana ny fisian'ny rakitra /run/firejail/mnt/join. Mba hanararaotra ny vulnerability, ny mpanafika dia afaka maka tahaka ny tontolon'ny firejail foronina tsy mitoka-monina amin'ny alΓ lan'ny toeran'ny tendrombohitra, ary mifandray amin'izany amin'ny alΓ lan'ny safidy "--join". Raha toa ka tsy mamela ny fomba fandrarana ny fahazoana tombontsoa fanampiny amin'ny dingana vaovao ny toe-javatra (prctl NO_NEW_PRIVS), ny firejail dia hampifandray ny mpampiasa amin'ny tontolo dummy ary hiezaka ny hampihatra ny firafitry ny anaran'ny mpampiasa amin'ny dingana init (PID 1).
Vokatr'izany, ny dingana mifandray amin'ny alalan'ny "firejail -join" dia hiafara amin'ny anaran'ny mpampiasa ID tany am-boalohany miaraka amin'ny tombontsoa tsy miova, fa amin'ny toerana hafa tendrombohitra, fehezin'ny mpanafika tanteraka. Ny mpanafika ihany koa dia afaka manatanteraka programa setuid-root ao amin'ny habaka tendrombohitra noforoniny, izay mamela, ohatra, ny fanovana ny /etc/sudoers fikandrana na ny parameter PAM ao amin'ny ambaratongan-drakitra misy azy ary afaka manatanteraka baiko miaraka amin'ny zo fototra amin'ny fampiasana sudo na su utility.
Source: opennet.ru