Kotsi (CVE-2022-31214) e khethiloe ho sesebelisoa sa ho itšehla thajana sa Firejail se lumellang mosebelisi oa lehae ho fumana litokelo tsa motso ho sistimi e amohelang. Ho na le ts'ebetso e sebetsang e fumanehang sebakeng sa sechaba, e lekiloeng liphatlalatsong tsa hona joale tsa openSUSE, Debian, Arch, Gentoo le Fedora ka sesebelisoa sa mollo oa mollo se kentsoeng. Taba ena e lokisitsoe ho firejail 0.9.70 tokollo. Joalo ka mokhoa oa ts'ireletso, o ka beha liparamente tsa "join no" le "force-nonewprivs yes" litlhophisong (/etc/firejail/firejail.config).
Firejail e sebelisa libaka tsa mabitso, AppArmor, le sefa mohala oa sistimi (seccomp-bpf) ho Linux bakeng sa ho itšehla thajana, empa e hloka litokelo tse phahameng tsa ho theha ts'ebetso e ikhethileng, eo e e fumanang ka ho tlama motso oa folaga ea ts'ebeliso kapa ho sebetsa le sudo. Kotsi e bakoa ke phoso ea "--join=" khetho, e reretsoeng ho hokela tikolohong e seng e ntse e sebetsa e ka thoko (e ts'oanang le taelo ea ho kena bakeng sa tikoloho ea sandbox) moo tikoloho e khethiloeng ke process ID e sebetsang ho eona. Nakong ea mohato oa ho tsosolosa pele ho tokelo, firejail e etsa qeto ea litokelo tsa ts'ebetso e boletsoeng ebe e li sebelisa ts'ebetsong e ncha e amanang le tikoloho e sebelisa "-join" kgetho.
Pele e hokela, e hlahloba hore na ts'ebetso e boletsoeng e ntse e sebetsa tikolohong ea mollo oa mollo. Tlhahlobo ena e lekola boteng ba faele /run/firejail/mnt/join. Ho sebelisa monyetla oa ho ba tlokotsing, mohlaseli a ka etsisa tikoloho ea tjhankana e iqapetsoeng, e sa itšehla thajana a sebelisa sebaka sa mabitso sa mount, ebe a hokela ho eona a sebelisa khetho ea "--join". Haeba litlhophiso li sa lumelle mokhoa oa ho thibela ho fumanoa ha litokelo tse eketsehileng lits'ebetsong tse ncha (prctl NO_NEW_PRIVS), firejail e tla hokahanya mosebelisi sebakeng sa dummy mme e leke ho sebelisa litlhophiso tsa sebaka sa mabitso sa mosebelisi ts'ebetsong ea init (PID 1).
Ka lebaka leo, ts'ebetso e hokahaneng ka "firejail -join" e tla qetella e le sebakeng sa lebitso la mosebelisi sa pele sa mosebelisi se nang le litokelo tse sa fetoheng, empa sebakeng se fapaneng sa thaba, se laoloang ka botlalo ke mohlaseli. Mohlaseli a ka boela a etsa mananeo a setuid-root sebakeng seo a se bōpileng, se lumellang, mohlala, ho fetola litlhophiso tsa /etc/sudoers kapa PAM parameters ho tsamaiso ea hae ea faele le ho khona ho phethahatsa litaelo ka litokelo tsa motso ka sudo kapa su lisebelisoa.
Source: opennet.ru