Waxay ogaadeen nuglaansho ka jirta jeel dab-demiska oo u ogolaatay xididka gelitaanka nidaamka

Darkcrizt

Daqiiqado 4

Waxay dhawaan soo saareen warkaas u nuglaanta ayaa la ogaaday (horey ugu taxan CVE-2022-31214) ee Firejail app sandboxing, waxaa lagu faahfaahiyay in cilladda la ogaaday ay u oggolaan karto isticmaale maxalli ah inuu xidid ku yeesho nidaamka martida loo yahay.

Firejail waxay isticmaashaa habka magacyada, AppArmor, iyo nidaamka shaandhaynta wacitaanka (seccomp-bpf) ee Linux si go'doomin ah, laakiin waxay u baahan tahay mudnaanta sare si loo habeeyo sii-deynta go'doonsan, taas oo ay ku hesho iyada oo lagu xirayo utility root calanka suid ama la socdo sudo.

Nuglaanta waxaa sabab u ah qalad ku yimid macquulka ah ee "-join=" doorashada », loogu talagalay in lagu xidho deegaan go'doonsan oo horeba u shaqaynaya (la mid ah amarka gelitaanka deegaanka sandbox) oo deegaanka lagu qeexay aqoonsiga habsocodka ku dhex jira. Marxaladda bilawga ka hor, jeelku wuxuu ogaadaa mudnaanta nidaamka la cayimay wuxuuna ku dabaqaa nidaamka cusub ee ku biiraya deegaanka oo leh ikhtiyaarka "-ku biir".

Kahor inta aan la xidhin, hubinayaa haddii nidaamka la cayimay uu ka socdo deegaanka xabsiga dabdemiska. Jeegaani wuxuu qiimeeyaa jiritaanka faylka /run/firejail/mnt/join. Si looga faa'iidaysto nuglaanta, Weeraryahanku waxa uu isku ekaysiinayaa deegaanka xabsiga dab-damiska ee aan go'doon ahayn addoo isticmaalaya magaca buurta ka dibna ku xidhidhiyaha addoo isticmaalaya "--join" doorashada

Haddii qaabeyntu aysan awood u siinin qaabka mamnuucida helitaanka mudnaanta dheeraadka ah ee hababka cusub (prctl NO_NEW_PRIVS), Firejail wuxuu ku xiri doonaa isticmaalaha jawi khiyaali ah oo wuxuu isku dayi doonaa inuu isticmaalo qaabeynta magaca isticmaalaha ee aqoonsiga isticmaalaha (isticmalaha magaca magaca) ee habka bilowga ( PID 1).

Inta badan macquulka ka dambeeya shaqada ku biirista waxay ku jirtaa koodhka isha laga bilaabo faylka `src/firejail/join.c` Qaybaha muhiimka ah ee koodka ayaa lagu fuliyay mudnaanta sare (UID 0 oo waxtar leh). Aqoonsiga habsocodka wuxuu u gudbay amar ahaan doodda xariiqda ayaa la eegaa si loo go'aamiyo haddii ay tahay rweel oo go'aami qaar ka mid ah hantideeda Waxa kale oo ay khusaysaa habka gelitaanka cusub.

Shuruudaha ugu muhiimsan ee go'aaminta in lagu biiriyo habka la beegsanayo iyo in kale ku guulaysta waa joogitaanka fayl ku jira meesha sare ee magaca bartilmaameedka, habka laga helay /run/firejail/mnt/join. Xaqiijinta waxaa lagu sameeyay f'wuxuu_diyaar_u yahay_ku biir()' shaqada Faylka waxaa lagu furay iyadoo la isticmaalayo lCalamada 'O_RDONLY|O_CLOEXEC' iyo natiijada 'fstat()' waa inay buuxi shuruudaha soo socda:

- Faylku waa inuu noqdaa mid caadi ah.
- faylka waa in uu leeyahay userid 0 (sida laga arkay isticmaalihii hore
meel magaceed).
- Faylku waa inuu ahaadaa 1 byte cabbir ahaan.

Natiijo ahaan, Habka ku xiran "jail-jail --join" waxay ku dhamaan doontaa goobta magaca Aqoonsiga isticmaale ee asalka ah ee isticmaalaha oo leh mudnaanta aan isbeddelin, laakiin meel kale oo buur ah, oo uu si buuxda u maamulo qofka weerarka geystay.

Natiijadu waxay tahay qolof "ku biirtay" hadda waxay ku noolaan doontaa isticmaale hore
Meesha magaceed, si kastaba ha ahaatee meesha buurta magaceedu waxa ay noqon doontaa midka uu maamulo qofka wax weeraray. Sida
qaabeynta nonewprivs lama dabaqin, weeraryahanku hadda wuu awoodaa
Ku socodsii barnaamijyada setuid-root gudahooda mount namespace

Gaar ahaan, weeraryahanku wuxuu ku fulin karaa barnaamijyada xididka xididka ee booska buurta ee uu abuuray, taas oo u oggolaanaysa, tusaale ahaan, beddelka / iwm / sudoers qaabeynta ama cabbirrada PAM ee nidaamka faylalka oo uu helo awoodda uu ku socodsiiyo amarrada xididka. iyadoo la isticmaalayo sudo ama adeegyadeeda.

Ugu dambeyntii, waxaa mudan in la xuso in ka faa'iidaysi shaqeynaya la sameeyay, lagu tijaabiyay noocyada hadda ee openSUSE, Debian, Arch, Gentoo iyo Fedora iyadoo la rakibay tamarta xabsiga dabka.

Dhibaatada waxaa lagu hagaajiyay nooca jeel 0.9.70. Sida hagaajinta amniga, waxaad dejin kartaa qaabeynta (/etc/firejail/firejail.config) si "maya ku biirin" iyo "force-nonewprivs haa".

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.