Nuglaanta (CVE-2022-31214) ayaa lagu aqoonsaday qusaynta codsiga Firejail taasoo u oggolaanaysa isticmaale maxalli ah inuu helo mudnaanta xididka nidaamka martida loo yahay. Waxaa jira ka faa'iidaysi shaqo oo laga heli karo goobta dadweynaha, oo lagu tijaabiyay siidaynta hadda ee openSUSE, Debian, Arch, Gentoo iyo Fedora oo ay ku rakiban tahay tamarta xabsiga dabdemiska. Arrintu waxay ku xidhan tahay xabsiga dab-demiska 0.9.70 sii-deynta. Ka shaqaynta ilaalinta, waxaad dejin kartaa xuduudaha "ku biir maya" iyo "force-nonowprivs haa" ee goobaha (/etc/firejail/firejail.config).
Firejail waxay isticmaashaa magacyada, AppArmor, iyo shaandhaynta wicitaanka nidaamka (seccomp-bpf) ee Linux si go'doomin ah, laakiin waxay u baahan tahay mudnaanta sare si loo dejiyo fulinta go'doonsan, taas oo ay ku kasbato iyada oo lagu xirayo calanka utility suid root ama la socoshada sudo. Nuglaanta waxaa sababa qalad ku jira caqli-galnimada ikhtiyaarka "--join=". ", loogu talagalay in lagu xiro deegaan go'doonsan oo horay u socday (oo la mid ah amarka gelitaanka ee jawiga sandbox) oo leh qeexida deegaanka ee aqoonsiga habka ku dhex socda. Inta lagu jiro marxaladda dib-u-dejinta mudnaanta hore, jeelku wuxuu go'aamiyaa mudnaanta nidaamka la cayimay wuxuuna ku dabaqaa nidaamka cusub ee ku xiran deegaanka iyadoo la adeegsanayo ikhtiyaarka "-join".
Kahor inta aan la xidhin, waxay hubisaa in nidaamka la cayimay uu ka socdo deegaanka xabsiga dab-damiska. Jeeggani wuxuu qiimeeyaa joogitaanka faylka /run/firejail/mnt/join. Si looga faa'iidaysto nuglaanta, weeraryahanku waxa uu ku ekaan karaa deegaan dab-damis oo khiyaali ah, oo aan go'doon ahayn isaga oo isticmaalaya magaca buurta, ka dibna ku xidho isaga oo isticmaalaya ikhtiyaarka "--ku biir". Haddii dejintu aysan awood u siinin qaabka mamnuucidda helitaanka mudnaanta dheeraadka ah ee hababka cusub (prctl NO_NEW_PRIVS), Firejail wuxuu ku xiri doonaa isticmaalaha jawi cidhiidhi ah wuxuuna isku dayi doonaa inuu isticmaalo goobaha magaca isticmaale ee habka gelitaanka (PID 1).
Natiijo ahaan, habka ku xiran "firejail -join" wuxuu ku dhamaan doonaa aqoonsiga isticmaalaha asalka ah ee isticmaalaha iyada oo leh mudnaanta aan isbeddelin, laakiin meel bannaan oo ka duwan, oo uu si buuxda u maamulo weerarka. Weeraryahanku waxa kale oo uu ku fulin karaa barnaamijyada setuid-root ee goobta buurta ee uu abuuray, taas oo u oggolaanaysa, tusaale ahaan, beddelka / iwm/ sudoers settings ama xuduudaha PAM ee hoggaankiisa faylalka iyo awood u yeelashada fulinta amarrada leh xuquuqaha xididka iyadoo la adeegsanayo sudo ama su utilities.
Source: opennet.ru