В популярной системе контейнеризации и распространения приложений Flatpak обнаружена критическая уязвимость, получившая идентификатор CVE-2026-34078. Она позволяет вредоносному приложению, упакованному в формат Flatpak, полностью обойти механизмы изоляции, получить доступ к файлам основной операционной системы и выполнить произвольный код с правами пользователя. Разработчики уже выпустили исправления в обновлениях Flatpak 1.16.4 и 1.17.4, однако миллионы систем под управлением популярных дистрибутивов Linux остаются уязвимыми до момента установки патча.
Уязвимость CVE-2026-34078
Эта новость имеет первостепенное значение для всех, кто использует Linux - от обычных пользователей, ценящих удобство установки приложений через Flatpak, до системных администраторов в корпоративной среде, где изоляция приложений является ключевым элементом политики безопасности. Уязвимость ставит под сомнение базовый принцип доверия к изолированным средам и требует немедленных действий по обновлению.
Техническая суть уязвимости. Проблема кроется в сервисе "flatpak-portal", который является частью инфраструктуры D-Bus. Этот сервис отвечает за так называемые "порталы" - механизмы контролируемого доступа изолированных приложений к ресурсам хост-системы, таким как файлы, принтеры или камеры. В частности, приложение может запросить доступ к определённому каталогу на хосте через опцию "sandbox-expose".
Оказалось, что в уязвимых версиях сервис некорректно обрабатывает пути, передаваемые в этой опции. Злоумышленник может указать не прямой путь к файлу, а символическую ссылку, ведущую в произвольное место файловой системы. Сервис "flatpak-portal", не проводя должных проверок, разрешает эту ссылку и монтирует итоговый путь хост-системы непосредственно внутрь песочницы приложения. Таким образом, изолированная программа получает полный доступ на чтение и запись к любому файлу, доступному пользователю, запустившему Flatpak-приложение.
Последствия и векторы атаки. Обход изоляции открывает широкий спектр возможностей для атаки. Самым очевидным сценарием является кража конфиденциальных данных: истории браузера, SSH-ключей, файлов кошельков криптовалют или рабочих документов. Однако истинная опасность заключается в возможности выполнения кода в контексте основной системы, что фактически означает полный компрометацию учётной записи пользователя.
Для этого злоумышленнику достаточно, получив доступ на запись, модифицировать один из стартовых скриптов оболочки пользователя, например, "~/.bashrc" или "~/.profile". При следующем запуске терминала вредоносный код выполнится автоматически. Другой классический вектор - добавление своего SSH-ключа в файл "~/.ssh/authorized_keys", что даст постоянный удалённый доступ к системе без пароля. Учитывая, что многие приложения Flatpak работают с правами обычного пользователя, атака может быть проведена незаметно, под видом легитимной программы из репозитория.
Статус исправлений и действия пользователей. Разработчики Flatpak оперативно отреагировали и закрыли дыру в выпусках 1.16.4 (стабильная ветка) и 1.17.4 (экспериментальная). Тем не менее, критически важно, чтобы обновление установили конечные пользователи и администраторы. На момент публикации патч интегрирован только в нестабильную ветку Debian Sid. Такие популярные дистрибутивы, как Ubuntu, RHEL, Fedora, SUSE и стабильные ветки Debian, всё ещё предоставляют уязвимые версии пакета. Актуальный статус для каждого дистрибутива можно отслеживать через официальные системы отслеживания уязвимостей.
В качестве временного обходного пути, если немедленное обновление невозможно, рекомендуется отключить проблемный сервис. Однако это действие может нарушить работу некоторых функций Flatpak, требующих взаимодействия с системой. Между тем, стоит отметить, что в тех же выпусках устранены ещё три менее критичные, но всё же серьёзные проблемы безопасности, включая возможность удаления произвольных файлов и вмешательства в процессы загрузки приложений.
Контекст и выводы. Данный инцидент ярко иллюстрирует классическую ошибку безопасности - недостаточную валидацию пользовательского ввода, которая в данном случае свела на нет всю концепцию изоляции. Песочница, которой доверяют тысячи пользователей, оказалась негерметичной из-за одного некорректно обработанного параметра. Это служит суровым напоминанием для разработчиков инфраструктурного ПО о необходимости тщательного аудита кода, отвечающего за границы безопасности, и применения принципа минимальных привилегий даже внутри служебных сервисов.
Для специалистов по кибербезопасности и системных администраторов ситуация требует немедленного инвентаризации: все системы, где установлен Flatpak, должны быть обновлены в приоритетном порядке. Пользователям же стоит проявить бдительность и устанавливать приложения только из проверенных источников, даже если они распространяются через, казалось бы, безопасный механизм песочницы. В конечном итоге, безопасность любой системы определяется надёжностью её самого слабого звена, которым на время оказался фундаментальный компонент современной экосистемы Linux-десктопов.
Ссылки
- https://security-tracker.debian.org/tracker/CVE-2026-34078
- https://github.com/flatpak/flatpak/releases/tag/1.16.4
- https://nvd.nist.gov/vuln/detail/CVE-2026-34078
