Vulnerabilidad en Flatpak (CVE-2024-42472)

Flatpak es un marco de distribución y sandbox de aplicaciones Linux. Antes de las versiones 1.14.0 y 1.15.10, una aplicación Flatpak maliciosa o comprometida que utilizaba directorios persistentes podía acceder y escribir archivos fuera de lo que de otro modo tendría acceso, lo cual es un ataque a la integridad y la confidencialidad. Cuando se usa `persistent=subdir` en los permisos de la aplicación (representado como `--persist=subdir` en la interfaz de línea de comandos), eso significa que una aplicación que de otro modo no tendría acceso al directorio de inicio del usuario real verá un directorio de inicio vacío con un subdirectorio grabable `subdir`. Detrás de escena, este directorio es en realidad un montaje de enlace y los datos se almacenan en el directorio por aplicación como `~/.var/app/$APPID/subdir`. Esto permite que las aplicaciones existentes que no conocen el directorio por aplicación sigan funcionando según lo previsto sin acceso general al directorio de inicio. Sin embargo, la aplicación tiene acceso de escritura al directorio de la aplicación `~/.var/app/$APPID` donde está almacenado este directorio. Si el directorio de origen para la opción `persistent`/`--persist` se reemplaza por un enlace simbólico, la próxima vez que se inicie la aplicación, el montaje del enlace seguirá el enlace simbólico y montará lo que sea que apunte en el sandbox. Se puede proporcionar protección parcial contra esta vulnerabilidad parcheando Flatpak usando los parches en las confirmaciones ceec2ffc y 98f79773. Sin embargo, esto deja una condición de ejecución que podría ser aprovechada por dos instancias de una aplicación maliciosa que se ejecutan en paralelo. Cerrar la condición de ejecución requiere actualizar o parchear la versión de bubblewrap que usa Flatpak para agregar la nueva opción `--bind-fd` usando el parche y luego parchear Flatpak para usarlo. Si Flatpak se configuró en el momento de la compilación con `-Dsystem_bubbléwrap=bwrap` (1.15.x) o `--with-system-bubblewrap=bwrap` (1.14.x o anterior), o una opción similar, entonces la versión de El bubblewrap que necesita parchearse es una copia del sistema que se distribuye por separado, normalmente `/usr/bin/bwrap`. Esta configuración es la que se utiliza normalmente en las distribuciones de Linux. Si Flatpak se configuró en el momento de la compilación con `-Dsystem_bubbewrap=` (1.15.x) o con `-- without-system-bubblewrap` (1.14.x o anterior), entonces se incluye la versión empaquetada de bubblewrap. con Flatpak que hay que parchear. Normalmente se instala como `/usr/libexec/flatpak-bwrap`. Esta configuración es la predeterminada cuando se construye a partir del código fuente. Para la rama estable 1.14.x, estos cambios se incluyen en Flatpak 1.14.10. La versión empaquetada de bubblewrap incluida en esta versión se actualizó a 0.6.3. Para la rama de desarrollo 1.15.x, estos cambios se incluyen en Flatpak 1.15.10. La versión incluida de bubblewrap en esta versión es un subproyecto "wrap" de Meson, que se actualizó a 0.10.0. Las ramas 1.12.x y 1.10.x no se actualizarán para esta vulnerabilidad. Las distribuciones de SO con soporte a largo plazo deben respaldar los cambios individuales en sus versiones de Flatpak y bubblewrap, o actualizar a versiones más nuevas si su política de estabilidad lo permite. Como workaround, evite el uso de aplicaciones que utilicen el permiso "persistente" (`--persist`).