Txaus ntshai cov teeb meem phom sij muaj npe hauv Firejail, Connman thiab GNU Guix

Ob peb hnub dhau los lawv tau ua lawv tus kheej paub xov xwm ntawm tus kuaj pom qee qhov tsis muaj zog koj puas xav qhov txaus ntshai hauv Firejail, Connman thiab GNU Guix. Thiab yog tias nyob rau hauv cov ntaub ntawv ntawm qhov tsis muaj peev xwm raug txheeb xyuas nyob rau hauv lub kaw lus rau khiav cov ntawv thov sandboxed Tua Dab  (CVE-2021-26910) qhov no tso cai rau nce cov cai tshwj xeeb rau cov neeg siv hauv paus.

Tua Dab siv namespaces, AppArmor, thiab lub kaw lus hu ua filtering (seccomp-bpf) rau kev rho tawm ntawm Linux, tab sis yuav tsum tau txais txoj cai tshwj xeeb kom kho qhov khau raj sib cais, uas tuaj yeem tau txais los ntawm cov ntawv pov thawj rau cov hluav taws xob nrog suid hauv paus chij lossis los ntawm kev khiav nrog sudo.

Qhov tsis muaj zog yog tshwm sim los ntawm qhov khuam nyob rau hauv txoj cai los txhawb OverlayFS cov ntaub ntawv kaw lus, uas yog siv los tsim ib txheej ntxiv nyob rau sab saum toj ntawm cov ntaub ntawv loj kom txuag cov kev hloov pauv los ntawm cov txheej txheem cais. Tus txheej txheem sib cais yuav tsum tau txais kev nkag mus rau cov ntaub ntawv sau thawj, thiab txhua qhov kev sau cov haujlwm raug xa mus rau qhov chaw cia ib ntus thiab tsis cuam tshuam qhov tseeb qhov system file.

Yog lub neej ntawd, OverlayFS partitions muaj mounted hauv cov neeg siv kev qhia hauv tsevPiv txwv li, sab hauv "/ home/test/.firejail/ [[npe]", thaum tus tswv ntawm cov npe no tau teeb tsa mus rau hauv paus kom tus neeg siv tam sim no tsis tuaj yeem hloov lawv cov ntsiab lus.

Thaum teeb tsa ib puag ncig sandbox, Firejail kuaj xyuas tias lub hauv paus ntawm OverlayFS sib cais ib ntus tsis tuaj yeem hloov kho los ntawm tus neeg siv tsis tsim nyogCov. Qhov tsis zoo yog tshwm sim los ntawm ib qho kev sib tw vim qhov kev ua haujlwm tsis ua haujlwm atomically thiab muaj lub sijhawm luv ntawm kev kuaj thiab mount, uas tso cai rau peb los hloov lub hauv paus .firejail directory nrog cov npe chaw uas tam sim no tus neeg siv tau sau nkag ( txij .firejail tau tsim nyob rau hauv tus neeg siv lub npe, tus neeg siv yuav tuaj yeem hloov npe nws).

Muaj sau nkag mus rau .firejail phau ntawv tso cai rau koj kom sib tshooj mount cov ntsiab lus OverlayFS nrog cov cim txuas thiab hloov cov ntawv ntawm cov system. Tus kws tshawb fawb tau npaj cov qauv ua haujlwm ntawm kev ua haujlwm tawm, uas yuav luam tawm ib lub lim tiam tom qab tso tawm ntawm qhov kho. Qhov teeb meem tshwm sim txij li version 0.9.30. Hauv version 0.9.64.4, qhov tsis muaj zog tau raug thaiv los ntawm kev xiam oob qhab OverlayFS.

Txhawm rau tiv thaiv qhov tsis zoo nyob rau hauv lwm txoj kev, koj tseem tuaj yeem ua rau OverlayFS los ntawm kev ntxiv cov lus "tsis dhau" nrog rau tus nqi "tsis muaj" rau /etc/firejail/firejail.config.

Qhov thib ob yooj yim Txaus ntshai uas tau txheeb xyuas (CVE-2021-26675) yog nyob hauv lub tshuab teeb tsa network ConnMan, uas tau dhau los ua cov kab ke Linux systems thiab IoT khoom siv. Qhov tsis zoo muaj peev xwm tso cai rau tej thaj chaw deb tua ntawm tus neeg tua kab.

Qhov teeb meem nws yog vim ntas yeeb ntas yeej dhau hauv qhov chaws dnsproxy thiab nws tuaj yeem tau txais txiaj ntsig los ntawm rov qab los tshwj xeeb cov lus teb los ntawm DNS server uas tus DNS proxy tau teeb tsa kom hloov tsheb. Tesla, uas siv ConnMan, tau tshaj tawm cov teebmeem no. Qhov tsis muaj zog tau pauv nyob rau hauv nag hmo tso tawm ntawm ConnMan 1.39.

Thaum kawg, lwm yam kev tiv thaiv kev nyab xeeb tias nws tso tawm, nws tau nyob hauv qhov chaw faib khoom GNU Guix thiab muaj feem cuam tshuam nrog qhov peculiarity ntawm tso suid-root cov ntaub ntawv hauv / directory / setuid-programs phau ntawv.

Feem ntau ntawm cov kev qhia hauv phau ntawv no tau xa nrog cov teeb tsa-hauv paus thiab setgid-cag, tab sis lawv tsis tau tsim los ua haujlwm nrog setgid-cag, uas muaj peev xwm siv tau los txhim kho txoj cai ntawm lub system.

Txawm li cas los xij, feem ntau ntawm cov haujlwm no yog tsim los khiav raws li setuid-cag, tab sis tsis yog setgid-cag. Yog li no, qhov kev teeb tsa no ua rau muaj kev pheej hmoo rau kev tiv thaiv txoj cai hauv zos (Guix cov neeg siv hauv "kev faib tawm txawv teb chaws" tsis cuam tshuam).

Cov kab no tau muab kho tas thiab cov neeg siv yaum kom hloov kho lawv cov kab ke….

Tsis muaj cov paub kev siv ntawm cov teeb meem no los txog rau hnub no

Thaum kawg yog koj txaus siab xav paub ntxiv txog nws Txog cov ntawv sau cia ntawm qhov tsis muaj kev ceeb toom, koj tuaj yeem tshawb xyuas cov ntsiab lus hauv qhov no hauv qhov txuas hauv qab no.

Tua Dab, Connman y GNU Kev


Cov ntsiab lus ntawm tsab xov xwm ua raws li peb cov ntsiab cai ntawm kev tswj hwm kev ncaj nceesCov. Tshaj tawm ib qho yuam kev nyem no.

Yog thawj tus tuaj tawm tswv yim

Tso koj saib

Koj email chaw nyob yuav tsis tsum luam tawm. Yuav tsum tau teb cov cim nrog *

*

*

  1. Lub luag haujlwm rau cov ntaub ntawv: Miguel Ángel Gatón
  2. Lub hom phiaj ntawm cov ntaub ntawv: Tswj SPAM, kev tswj xyuas tawm tswv yim.
  3. Sau raws cai: Koj kev tso cai
  4. Kev sib txuas lus ntawm cov ntaub ntawv: Cov ntaub ntawv yuav tsis raug xa mus rau lwm tus neeg thib peb tsuas yog los ntawm kev txiav txim siab raug cai.
  5. Cov ntaub ntawv khaws cia: Cov Ntaub Ntawv khaws tseg los ntawm Occentus Networks (EU)
  6. Txoj Cai: Txhua lub sijhawm koj tuaj yeem txwv, rov qab thiab tshem tawm koj cov ntaub ntawv.