Vulnerabilidad en los sockets AF_UNIX en Flatpak (CVE-2021-41133)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/10/2021
Última modificación:
23/12/2023
Descripción
Flatpak es un sistema para construir, distribuir y ejecutar aplicaciones de escritorio en sandbox en Linux. En versiones anteriores a 1.10.4 y 1.12.0, las aplicaciones Flatpak con acceso directo a los sockets AF_UNIX, como los usados por Wayland, Pipewire o pipewire-pulse, pueden engañar a los portales y otros servicios del sistema operativo anfitrión para que traten la aplicación Flatpak como si fuera un proceso ordinario del Sistema Operativo anfitrión sin sandbox. Pueden hacer esto al manipular el VFS usando recientes llamadas al sistema relacionadas con el montaje que no están bloqueadas por el filtro seccomp de Flatpak, para sustituir un "/.flatpak-info" diseñado o hacer que ese archivo desaparezca por completo. Las aplicaciones Flatpak que actúan como clientes de sockets AF_UNIX como los usados por Wayland, Pipewire o pipewire-pulse pueden escalar los privilegios que los servicios correspondientes creerán que presenta la aplicación Flatpak. Ten en cuenta que los protocolos que operan completamente sobre el bus de sesión D-Bus (bus de usuario), el bus de sistema o el bus de accesibilidad no están afectados por esto. Esto es debido al uso de un proceso proxy "xdg-dbus-proxy", cuyo VFS no puede ser manipulado por la app Flatpak, cuando interactúa con estos buses. Se presentan parches para las versiones 1.10.4 y 1.12.0, y en el momento de la publicación, se está planeando un parche para la versión 1.8.2. No se presentan soluciones aparte de la actualización a una versión parcheada
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:flatpak:flatpak:*:*:*:*:*:*:*:* | 1.8.2 (excluyendo) | |
| cpe:2.3:a:flatpak:flatpak:*:*:*:*:*:*:*:* | 1.10.0 (incluyendo) | 1.10.4 (excluyendo) |
| cpe:2.3:a:flatpak:flatpak:*:*:*:*:*:*:*:* | 1.11.1 (incluyendo) | 1.12.1 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/10/26/9
- https://github.com/flatpak/flatpak/commit/1330662f33a55e88bfe18e76de28b7922d91a999
- https://github.com/flatpak/flatpak/commit/26b12484eb8a6219b9e7aa287b298a894b2f34ca
- https://github.com/flatpak/flatpak/commit/462fca2c666e0cd2b60d6d2593a7216a83047aaf
- https://github.com/flatpak/flatpak/commit/4c34815784e9ffda5733225c7d95824f96375e36
- https://github.com/flatpak/flatpak/commit/89ae9fe74c6d445bb1b3a40e568d77cf5de47e48
- https://github.com/flatpak/flatpak/commit/9766ee05b1425db397d2cf23afd24c7f6146a69f
- https://github.com/flatpak/flatpak/commit/a10f52a7565c549612c92b8e736a6698a53db330
- https://github.com/flatpak/flatpak/commit/e26ac7586c392b5eb35ff4609fe232c52523b2cf
- https://github.com/flatpak/flatpak/security/advisories/GHSA-67h7-w3jq-vh4q
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/R5656ONDP2MGKIJMKEC7N2NXCV27WGTC/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/T5DKCYRC6MFSTFCUP4DELCOUUP3SFEFX/
- https://security.gentoo.org/glsa/202312-12
- https://www.debian.org/security/2021/dsa-4984