Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 03/02/2021, à 20:43

ft

Flatpak joue encore dans le bac à sable

Ouch :
https://lists.ubuntu.com/archives/focal … 22745.html

flatpak (1.6.5-0ubuntu0.2) focal-security; urgency=medium

  * SECURITY UPDATE: Flatpak sandbox escape via spawn portal (LP: #1911473)
    - debian/patches/CVE-2021-21261-1.patch: tests: Add minimal version
      of "ok" helper.
    - debian/patches/CVE-2021-21261-2.patch: common: Add a backport of
      G_DBUS_METHOD_INVOCATION_HANDLED.
    - debian/patches/CVE-2021-21261-3.patch: run: Convert all environment
      variables into bwrap arguments.
    - debian/patches/CVE-2021-21261-4.patch: tests: Expand coverage for
      environment variable overrides.
    - debian/patches/CVE-2021-21261-5.patch: context: Add --env-fd option.
    - debian/patches/CVE-2021-21261-6.patch: portal: Convert --env in
      extra-args into --env-fd.
    - debian/patches/CVE-2021-21261-7.patch: tests: Exercise --env-fd.
    - debian/patches/CVE-2021-21261-8.patch: portal: Do not use
      caller-supplied variables in environment.
    - debian/patches/CVE-2021-21261-9.patch: tests: Assert that --env= does
      not go in `flatpak run` or bwrap environ.
    - CVE-2021-21261

et le bug avec les détails :
https://bugs.launchpad.net/ubuntu/+sour … ug/1911473

Simon McVittie discovered a bug in the flatpak-portal service that can allow sandboxed applications to execute arbitrary code on the host system (a sandbox escape).

The Flatpak portal D-Bus service (flatpak-portal, also known by its D-Bus service name org.freedesktop.portal.Flatpak) allows apps in a Flatpak sandbox to launch their own subprocesses in a new sandbox instance, either with the same security settings as the caller or with
more restrictive security settings. For example, this is used in Flatpak-packaged web browsers such as Chromium to launch subprocesses
that will process untrusted web content, and give those subprocesses a more restrictive sandbox than the browser itself.

In vulnerable versions, the Flatpak portal service passes caller-specified environment variables to non-sandboxed processes on the host system, and in particular to the flatpak run command that is used to launch the new sandbox instance. A malicious or compromised Flatpak app could set environment variables that are trusted by the flatpak run command, and use them to execute arbitrary code that is not in a sandbox.

De quoi se souvenir de https://flatkill.org/2020/ .

Dernière modification par ft (Le 03/02/2021, à 20:44)


Ubuntu 24.04

Hors ligne

#2 Le 04/02/2021, à 01:13

Compte anonymisé

Re : Flatpak joue encore dans le bac à sable

De toute façon le bac à sable n'est pas obligatoire et la quasi-totalité, pour ne pas dire la totalité, des utilisateurs n'a aucune idée des permissions qui permettent d'en sortir.

Dernière modification par abakkk (Le 04/02/2021, à 01:19)

#3 Le 04/02/2021, à 03:46

Coeur Noir

Re : Flatpak joue encore dans le bac à sable

C'est assez infernal ces « monstrueux » packages. Si les intentions semblent louables - quoi que concernant surtout les développeurs - la concrétisation ( ce que voit l'utilisateur moyen final ) est bien en deçà de ce que proposent les packages « traditionnels » : thèmes, saisies, accès aux médias perso ou amovibles, à /tmp… L'expérience est souvent décourageante pour l'utilisateur « pas-geek-pas-IT-pas-dev ».

Donc sous prétexte 1) que ça arrange les dév' 2) que ça améliore soi-disant la sécurité, on met dans les mains et devant les yeux des utilisateurs normaux des « solutions » pas finies, qui nécessitent encore de nombreux ajustements, en les présentant comme l'avenir des « applications Linux ». Curieux timing. Et curieuse façon de « vendre » ces nouveautés.

Almost all popular apps on Flathub still come with filesystem=host or filesystem=home permissions, in other words, write access to the user home directory (and more) so all it takes to escape the sandbox is trivial echo download_and_execute_evil >> ~/.bashrc. That's it.
On m'explique à quoi servent la plupart des appli's si elles n'ont pas accès aux documents de l'utilisateur - qu'ils se trouvent dans $HOME ou ailleurs ?
Les flatpak ont accès aux fichiers cachés ?

De toute façon le bac à sable n'est pas obligatoire et la quasi-totalité, pour ne pas dire la totalité, des utilisateurs n'a aucune idée des permissions qui permettent d'en sortir.
Ce qui n'empêchera pas l'utilisateur d'en sortir, sans le savoir, en croyant résoudre une incohérence d'UI ou d'UX…


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#4 Le 17/02/2021, à 12:32

grandtoubab

Re : Flatpak joue encore dans le bac à sable

je suis très satistait de pouvoir ré-utiliser Pitivi en version Flatpak
Pitivi la résurrection


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#5 Le 17/02/2021, à 17:13

Coeur Noir

Re : Flatpak joue encore dans le bac à sable

Oui grantoubab, on sait que flatpak ou snap proposent des versions récentes de logiciels. Là n'est pas le propos.


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#6 Le 17/02/2021, à 18:26

grandtoubab

Re : Flatpak joue encore dans le bac à sable

Même pas peur lol lol

apt policy flatpak
flatpak:
  Installé : 1.10.1-2
  Candidat : 1.10.1-2
 Table de version :
 *** 1.10.1-2 990
        990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages
        500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
        100 /var/lib/dpkg/status
     1.2.5-0+deb10u3 990
        990 https://cdn-aws.deb.debian.org/debian-security buster/updates/main amd64 Packages
apt changelog flatpak

flatpak (1.10.1-2) unstable; urgency=medium

  * d/patches: Disable FUSE-based revokefs if any of several factors fail.
    This fixes FTBFS in pbuilder, and hopefully also on Launchpad
    autobuilders.

 -- Simon McVittie <smcv@debian.org>  Thu, 28 Jan 2021 22:24:20 +0000

flatpak (1.10.1-1) unstable; urgency=medium

  * New upstream release
    - Fix a regression in 'flatpak build' after fixing CVE-2021-21261
      (Closes: #980323)

 -- Simon McVittie <smcv@debian.org>  Thu, 21 Jan 2021 14:12:22 +0000

flatpak (1.10.0-2) unstable; urgency=medium

  * Upload 1.10.x branch to unstable
  * Add CVE-2021-21261 reference to 1.8.5-1 changelog entry

 -- Simon McVittie <smcv@debian.org>  Sun, 17 Jan 2021 11:51:16 +0000

PS non non surtout pas snap, quelle horreur


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#7 Le 17/02/2021, à 22:33

Coeur Noir

Re : Flatpak joue encore dans le bac à sable

Hors-sujet :
Tous ces gamins qui croient réinventer la poudre versus tous ces vieux qui prétendent l'avoir inventée ?
Franchement risible un tel argument générationnel sur un forum qui parle essentiellement de « logiciels libres » dont une bonne part de l'essence consiste à …réinventer la roue.

Retour au sujet de ce fil :
⋅ que valent les confinements proposés par flapak et snap ? Apparement pas grand'chose en dehors de wayland, mais qui est capable, ici, de le démontrer ? ( pas moi, je ne fais qu'essayer de comprendre… )
⋅ Wayland - sans flatpak ni snap - ne résout-il pas seul l'essentiel des risques sécuritaires ( liés à Xorg vieillissant ) ?
⋅ pourquoi ces packages à confinement seraient-ils nécessaires quand des distributions proposent des dépôts correctement maintenus ?
⋅ et, pas si accessoirement que ça, quels changements ces confinements impliquent-ils pour l'utilisateur, dans son quotidien informatique ?

Modération : hors sujet déplacé dans la corbeille.

Dernière modification par Ayral (Le 18/02/2021, à 10:35)


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#8 Le 17/02/2021, à 22:44

beuguissime

Re : Flatpak joue encore dans le bac à sable

Tu poses les bonnes questions Coeur Noir. Je me pose ces mêmes questions sans réponses.

Hors ligne

#9 Le 17/02/2021, à 23:33

abecidofugy

Re : Flatpak joue encore dans le bac à sable

Flatpak et Snap ont obligé ma mère a « changer de PC » (bon, elle aurait juste pu changer de disque dur).

C’est fou ce que ça occupe comme place sur le disque dur, et que c’est pas pratique du tout pour enregistrer ses fichiers ou aller les chercher.

On marche sur la tête…

Hors ligne

#10 Le 18/02/2021, à 01:25

Coeur Noir

Re : Flatpak joue encore dans le bac à sable

@abecidofugy on risque un peu le hors-sujet mais ta mésaventure me fait poser d'autres questions :
⋅ comment ou pourquoi le pc de ta maman s'est retrouvé « trop plein » de snap et/ou flatpak ?
On peut installer des snap sans le savoir - ok - mais pour flatpak on peut vraiment pas le faire « sans savoir » ( sous Ubuntu en tout cas ).
⋅ pour snap ( je pratique peu flatpak ) les problèmes d'accès à des fichiers / partitions / supports amovibles se règlent via les « permissions / autorisations » de chaque appli' en snap.
Il y a aussi des paramètres pour limiter la place qu'ils prennent. Est-ce que cela avait été fait ? Ou y avait-il encore d'autres problèmes ?

Aucun jugement de ma part : ce que tu racontes confirme justement une impression que j'ai encore 4~5 ans après l'introduction de snap dans les LTS d'Ubuntu ( ou l'utilisation de flatpak ) :
ça ne s'adresse qu'à des gens qui ont déjà une bonne connaissance du fonctionnement « classique » de leur système, pour l'utilisateur occasionnel ou pas-spécialement-geek-ni-passionné-par-les-entrailles-de-son-ordinateur c'est vite une source d'incompréhension et de frustration.


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#11 Le 18/02/2021, à 08:41

Rafbor

Re : Flatpak joue encore dans le bac à sable

Le coup du disque plein à cause des snaps, ça m'est arrivé quand j'ai monté mon SSD, j'avais suivi un tuto erroné ou il était préconisé de mettre "/var" sur une partition du HDD, j'avais alloué 10go, et après quelques temps, les messages de manque d'espace sont apparus.
Résolu en réinstallant avec "/var/log" sur le HDD.


Xubuntu 22.04 - Mes projets sur Github

Hors ligne

#12 Le 24/02/2021, à 20:37

abecidofugy

Re : Flatpak joue encore dans le bac à sable

@Coeur Noir : ma mère n’a rien fait, elle n’a que migré son PC vers la dernière LTS : c’est à partir de ce moment-là que le système a préféré les version snap au lieu des bons vieux deb
Je précise que je n’ai pas son PC sous la main, et que je n’utilise pas encore mon double-boot pour jouir d’une (x)Ubuntu et donc me pencher sur le cas de ces programmes plus volumineux.

Je vais me documenter pour savoir où les autorisations s’activent.

Merci de ton avis/éclaircissement.

Hors ligne

#13 Le 24/02/2021, à 23:20

Coeur Noir

Re : Flatpak joue encore dans le bac à sable

ma mère n’a rien fait, elle n’a que migré son PC vers la dernière LTS
Et oui c'est justement bien la réponse à laquelle je m'attendais ;-) Je n'accuse ni toi et encore moins ta maman d'avoir fait une « bêtise ». Elle a probablement ouvert « Logiciels » pour installer 2 ou 3 trucs, et là crac si on n'est pas très attentif et au courant, on installe des snaps sans le savoir. C'est ça la bêtise, et elle est déterminée par défaut dans Logiciels.

Pour les flatpaks - sous Ubuntu - y'a un peu plus de manip's à faire pour les installer, il me semble. Edit : non plus vraiment, juste une étape préliminaire, installer flatpak depuis les dépôts.

Snap voir prérequis et autres astuces.

Si depuis Logiciels tu ne souhaites plus pouvoir installer de snap ou de flatpak mais que des bons vieux .deb poilus et robustes, alors il faut supprimer les plugins correspondants :
⋅ gnome-software-plugin-flatpak
⋅ gnome-software-plugin-snap

Dernière modification par Coeur Noir (Le 24/02/2021, à 23:55)


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#14 Le 06/03/2021, à 18:27

ft

Re : Flatpak joue encore dans le bac à sable

Encore du sable dans le bac :
https://github.com/flatpak/flatpak/issues/4146
et du coup :
https://github.com/flatpak/flatpak/pull/4155
m'a fait découvrir que Flatpak ne disposait pas de procédure codifiée pour signaler un bug de sécurité... Eh beh.


Ubuntu 24.04

Hors ligne

#15 Le 12/05/2021, à 07:37

ft

Re : Flatpak joue encore dans le bac à sable

OOOUUUUUFFF !

La faille critique a été corrigée dans Ubuntu.
https://bugs.launchpad.net/ubuntu/+sour … ug/1918482

Découverte le 2 mars, patchée le 12 mai. Nickel.


Ubuntu 24.04

Hors ligne

#16 Le 12/05/2021, à 08:16

iznobe

Re : Flatpak joue encore dans le bac à sable

Bonjour , mouais ...

ce qu ' il en ressort de ces nouveaux systemes de diffusion de logiciels , a mon avis c' est que la priorité qui est mise en avant est " les devs peuvent sortir des logiciels beaucoup plus rapidement et facilement " sans se preoccuper des specifictés de chaque distributions .

C ' est en ce sens qu ' ont été introduits flatpak snap .
Dans le fond c' est tres louable , on aura plus de logiciels logiquement mieux fait et avec un développement , ils toucheront toutes les distributions .
Cependant comme tout le monde le sait , la mise au point et l ' " affinage " de tout cela va prendre un certain temps .
D ' ici là , le prix des disques durs aura ( theoriquement ) baissé et les vieux ordinausore auront certainement commencé a disparaitre .

La politique mené par canonical , est d' imposé ce systeme , pourquoi ils ont fait ce choix ?
Peut etre pour prendre de l ' avance sur les collegues ?
Peut etre pour amener un développement plus rapide de la logitheque et du systeme de diffusion en question  ?
cela permettant une maturité plus rapide et aboutie d' imposer aux gens et de corriger les bugs au fur et a mesure ( on se raprroche d ' un certain bill ou je reve ? )

Bref , canonical pense faire un  " pas soutenu " vers l'  avenir , mais au prix de certains mecontents .

Ce que je ne comprend pas , c ' est pourquoi ne pas poser la question aux gens lors de l' installation , genre avec une case a cocher comme les codecs proprio  :
voulez vous installez le nouveau systeme de paquetage snap version experimentale ? (  puisque il ne veulent pas flapak )
avantages : versions logicielles recentes etc ...
inconvenients : beaucoup de place dispo sur le disque dur a prevoir , minimum 1000 GO .

Et faire en sorte que dans la logitheque ca soit visible et avoir le choix , quitte a detailler et mettre en avant les nouvelles fonctionnalités des versions recentes , mais imposez ( et bousillez les machines qui n' ont que des disques de 250 Go ou moins ) me semble pas correspondre a une politique libriste , de plus les gens ayant installé plein de snaps ne seraient pas pris au depourvu , et ne pourrait pas dire , je savais pas .

Dernière modification par iznobe (Le 12/05/2021, à 08:20)


retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#17 Le 14/05/2021, à 12:39

ft

Re : Flatpak joue encore dans le bac à sable

(Ici on parle de la sécurité de Flatpak ?)


Ubuntu 24.04

Hors ligne