В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2026-05831 (CVE-2026-34078). Она затрагивает Flatpak - популярный инструмент для управления приложениями и средами, который широко применяется в операционных системах на ядре Linux. Проблема оказалась настолько серьёзной, что получила максимальную оценку по шкале CVSS - 10 баллов из 10 возможных.
Детали уязвимости
Суть найденной ошибки кроется в работе с символьными ссылками UNIX. Это особый тип файлов, которые указывают на другой объект в файловой системе. Их можно представить как ярлыки в операционной системе. Уязвимость классифицирована по стандарту CWE-61 (общий перечень слабых мест в программном обеспечении) именно как проблема отслеживания таких ссылок. На практике это означает, что злоумышленник может обмануть Flatpak, заставив его работать не с тем файлом, который предполагалось, а с произвольным объектом, подконтрольным атакующему.
Особую тревогу вызывает вектор атаки. Согласно описанию уязвимости, нарушителю не требуется никакой аутентификации - он может действовать удалённо, причём сложность атаки низкая. Это означает, что для эксплуатации не нужны особые навыки или дорогостоящее оборудование. Достаточно лишь заставить жертву открыть специально подготовленный пакет Flatpak или посетить скомпрометированный ресурс. Как следствие, злоумышленник получает возможность выполнить произвольный код на целевой системе и, что ещё опаснее, получить несанкционированный доступ к защищаемой информации.
Уязвимость подтверждена производителем - сообществом свободного программного обеспечения, которое развивает Flatpak. Проблема затрагивает все версии инструмента вплоть до 1.16.4. Разработчики уже выпустили исправление и рекомендовали пользователям как можно скорее обновиться. Ссылка на официальный бюллетень безопасности размещена на платформе GitHub в репозитории проекта Flatpak. Для тех, кто использует этот инструмент в корпоративной среде или для развёртывания критически важных приложений, обновление становится первоочередной задачей.
По версии CVSS 2.0 базовая оценка составила максимальные 10 баллов. Вектор атаки описывается как AV:N/AC:L/Au:N/C:C/I:C/A:C. Расшифровывается это так: сетевой вектор, низкая сложность, отсутствие аутентификации, полное нарушение конфиденциальности, целостности и доступности. По версии CVSS 3.1 оценка также достигла 10 баллов. При этом вектор стал ещё тревожнее: атака возможна из сети, сложность низкая, привилегии не требуются, взаимодействие с пользователем не нужно. Более того, оценка CVSS 4.0 составила 9,3 балла. Здесь особенно заметен показатель VA:H - высокая степень нарушения доступности, что говорит о возможном отказе в обслуживании или полной блокировке системы.
Чем именно это грозит на практике? Если злоумышленник успешно эксплуатирует уязвимость, он может украсть данные, хранящиеся внутри изолированных сред Flatpak. Речь идёт о паролях, ключах шифрования, конфиденциальных документах. Кроме того, возможность выполнения произвольного кода открывает путь к установке вредоносного программного обеспечения, программ-вымогателей, шпионских модулей. Учитывая, что Flatpak часто применяется для изоляции приложений, компрометация самого инструмента сводит на нет все преимущества такой изоляции.
Для администраторов систем на базе Linux, которые активно используют Flatpak, рекомендация очевидна: как можно быстрее проверить версию установленного инструмента и выполнить обновление. Если по каким-то причинам обновление невозможно, стоит временно ограничить использование Flatpak или перейти на альтернативные способы изоляции, такие как Docker или Podman. Однако эти меры носят временный характер, ведь уязвимость затрагивает сам механизм работы с файлами, а не отдельные приложения.
В целом, данная проблема - ещё одно напоминание о том, что даже современные системы изоляции могут содержать критические ошибки. Разработчикам стоит обратить внимание на механизмы проверки символьных ссылок в своих продуктах, а пользователям - не пренебрегать своевременным обновлением. Пока что инцидент не привёл к масштабным атакам, но с выходом эксплойта ситуация может измениться. Будьте внимательны и следите за обновлениями.
Ссылки
- https://bdu.fstec.ru/vul/2026-05831
- https://www.cve.org/CVERecord?id=CVE-2026-34078
- https://github.com/flatpak/flatpak/security/advisories/GHSA-cc2q-qc34-jprg
