Les composants instantanés de Canonical, comme les flatpaks de Red Hat, sont des programmes de conditionnement et de déploiement de logiciels Linux basés sur des conteneurs. Bien que les snaps soient le plus fortement associés à Ubuntu Linux, ils sont utilisés pour distribuer et installer des programmes Linux sur de nombreuses distributions Linux. Et, hélas, l’équipe de recherche Qualys a découvert plusieurs problèmes de sécurité Linux difficiles à trouver mais désagréables, notamment le problème Oh Snap! Plus d’exploitation de lemmings.
Malgré leur drôle de nom, ces failles de sécurité sont sérieuses. Dans le pire des cas, cette faille de sécurité classée CVSS (Common Vulnerability Scoring System) 7.8 peut être utilisée pour obtenir des privilèges root complets sur les installations Ubuntu par défaut. Aie!
Mais, avant de vous énerver chez Canonical, regardez de plus près. Tout en découvrant les vulnérabilités des snaps, Qualsys a également trouvé des problèmes de sécurité que vous trouverez dans toutes les distributions Linux. Ce sont CVE-2021-3996 et CVE-2021-3995 dans util-linux (libmount et umount); CVE-2021-3998 et CVE-2021-3999 dans la glibc (realpath() et getcwd()), et CVE-2021-3997 dans systemd (systemd-tmpfiles).
Les chercheurs en sécurité ont également déclaré : « Découvrir et exploiter une vulnérabilité dans snap-confine a été extrêmement difficile (en particulier dans une installation par défaut d’Ubuntu) car snap-confine utilise un style de programmation très défensif, des profils AppArmor, des filtres seccomp, des espaces de noms de montage et deux programmes d’assistance Go. » Malgré tout cela, ils ont trouvé une paire de vulnérabilités.
Courir dans un bac à sable
Avant d’entrer dans les détails, pour vous mettre au courant, les snaps sont des applications autonomes s’exécutant dans un bac à sable avec un accès médiatisé au système hôte. Contrairement aux gestionnaires de logiciels Linux traditionnels, tels que Debian DEB et Red Hat RPM, qui installent des programmes sous forme de packages avec toutes leurs autres dépendances sous forme de packages séparés, les snaps sont pré-groupés avec leurs dépendances requises. Cela facilite leur déploiement sur n’importe quel Linux avec le service Snap.
Ces dernières années, ce nouveau style d’installation d’applications Linux est devenu très populaire. Bien qu’il soit mieux connu dans les cercles de bureau Linux, les snaps sont également utilisés sur les serveurs et, en effet, avec des distributions Linux complètes telles que la distribution Ubuntu Core de l’Internet des objets (IoT).
cassé
Le premier problème était que le démon snap snapd ne validait pas correctement l’emplacement du binaire snap-confine. Pour cette raison, un utilisateur hostile pourrait lier en dur le binaire à un autre emplacement. Cela, à son tour, signifiait qu’un attaquant local pourrait être en mesure d’utiliser ce problème pour exécuter d’autres binaires arbitraires et élever les privilèges.
Les chercheurs ont également découvert qu’une condition de concurrence existait dans le binaire snapd snap-confine lors de la préparation d’un espace de noms de montage privé pour un composant logiciel enfichable. Avec cela, un attaquant local pourrait obtenir des privilèges root en montant par liaison son propre contenu dans l’espace de noms de montage privé du composant logiciel enfichable. Avec cela, ils pourraient faire en sorte que snap-confine exécute du code arbitraire. À partir de là, il est facile de démarrer une escalade de privilèges pour qu’un attaquant essaie de se rendre jusqu’à root.
Il n’y a pas de moyen distant d’exploiter cela directement. Mais, si un attaquant peut se connecter en tant qu’utilisateur non privilégié, il pourrait rapidement utiliser cette vulnérabilité pour obtenir les privilèges root.
Patch à la rescousse
Canonical a publié un correctif qui corrige les deux failles de sécurité. Le correctif est disponible dans les versions suivantes d’Ubuntu prises en charge : 21.10 ; 20.04 et 18.04. Une simple mise à jour du système résoudra ce problème. Le problème est également présent dans les distributions Ubuntu qui ne sont plus prises en charge, telles que 21.04 et 20.08. Ici, vous devez mettre à jour vers une distribution Ubuntu actuellement prise en charge. Enfin, il n’y a pas encore de correctif disponible pour Ubuntu 16.04 ESM (Extended Security Maintenance), mais il devrait être disponible sous peu.
Étant donné le niveau de danger élevé de cette vulnérabilité, je vous recommande fortement de patcher vos distributions dès que possible. Vous serez content de l’avoir fait.
Un représentant de Canonical a déclaré : « Comme toujours, nous sommes reconnaissants à la grande communauté dont nous faisons partie, d’avoir identifié et divulgué ces problèmes de sécurité de manière responsable. Nous sommes également reconnaissants aux professionnels de nos équipes de sécurité et de plate-forme snap qui ont agi rapidement pour atténuer la vulnérabilité et aux professionnels d’autres organisations qui ont travaillé en temps opportun sur les problèmes respectifs divulgués. À l’heure actuelle, grâce aux actualisations automatiques, la plupart des installations de plates-formes distribuées par snap dans le monde ont déjà été corrigées via des mises à jour. Des mises à jour pour d’autres systèmes d’emballage sont également disponibles et en cours de déploiement.
Image sélectionnée de Pixabay.