Critical Vulnerability Found in Flatpak: CVE-2024-42472 (CVSS 10) Exposes Files Outside Sandbox
2024/08/15 SecurityOnline — サンドボックス化されたデスクトップ・アプリケーションを、Linux 上で配布/実行する人気のシステム Flatpak に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-42472 (CVSS:10) は、悪意のアプリや侵害されたアプリに対して、サンドボックスの迂回を許し、指定された領域外のファイルへの不正アクセスを許すものだ。
脆弱性の影響と重大性
脆弱性 CVE-2024-42472 は、Flatpak が永続ディレクトリを処理する方法に起因するものであり、セキュリティ研究者である Chris Williams により発見された。この永続ディレクトリとは、アプリケーション・セッションをまたいで永続するデータを、保存するためのディレクトリのことである。
対象となるアプリケーションが persistent(-persist) オプションを使うように設定されている場合には、サンドボックス内の指定されたサブディレクトリにしかアクセスできないことになっている。しかし、シンボリックリンクが persistent オプションのソースディレクトリを置き換えた場合に、この脆弱性がトリガーされる。
このシナリオでは、アプリケーションが次回に起動する時に、バインド・マウントがシンボリックリンクに追従してしまい、そこで指定されるファイルやディレクトリへのアクセスを、アプリケーションに許可する可能性が生じる。それにより、サンドボックスの制限が効果的に回避され、アプリケーションがアクセスすべきでない場所にある、ファイルを読み書きが可能になってしまう。
この脆弱性は、Flatpak の 1.14.8/1.15.9 以下のバージョンに影響するものであり、すでに Flatpak 1.14.10/1.15.10 で修正されている。
脆弱性の影響
特に、侵害済み、あるいは、悪意の Flatpak アプリケーションから、脆弱性 CVE-2024-42472 が悪用されるシナリオにおいて、サンドボックスの外に保存される SSH キーや設定ファイルなどへのアクセスという、深刻なリスクが生じる。さらに、システムの操作に不可欠なファイルが侵害されると、不正なデータ・アクセス/データ破損/リモート・コード実行などにつながる可能性もある。
Flatpak について Wikipedia で調べたところ、「Linux 用のソフトウェア・デプロイメントとパッケージ管理ユーティリティである。対象となるアプリを、システムの他の部分から分離して実行するための、サンドボックス環境を提供すると宣伝されている。Flatpak は、2016年まで xdg-app として提供されていた」と解説されていました。とても素晴らしい試みだと思う反面、ファイルやネットワークへのアクセスはどうするのだろうとか、コンフィグでパーミッションを適すのだろうかとか、いろいろと考えてしまいます。
IoT OT Security News 
You must be logged in to post a comment.