Flatpak'te development syscalls izni bir guvenlik acığı mı?

02-09-2023, 22:08:51

#1
Misafir

Açık Profil bilgileri

Özel Mesaj Gönder

Misafir tarafından gönderilen tüm mesajları bul

Misafir'ı arkadaş olarak ekle
Steam ve grapejuice Flatpak'lerinde development syscalls izni mevcut. Bu izin bildiğim kadarıyla oyunlardaki hile koruma sisteminden dolayı bir zorunluluk. Mesela Grapejuice bu izin olmadan Roblox'u acamıyor. Ben de merakımdan gittim bir Rootless Podman Container'ı oluşturdum onun icinde Grapejuice Roblox'u calıştıracak mı diye test ettim ve calıştırdı. O container sadece benim iGPU'ma ve X11'e erişebiliyordu. Evet Flatpak'le podman Container'ı farklı şeyler. Ama o podman container'ına riskli bir izin vermemem sebebiyle ve buna rağmen Roblox'u calıştırmasıyla o Syscalls'lara erişse bile container escape durumu oluşmaz diye duşununce benzer mantıkla flatpak icinde development syscalls izninin sandboxing escape ile sonuclanmayacağını duşundum. Tabii muhtemelen yanlış duşunuyorumdur.

Bu iceriği goruntulemek icin ucuncu taraf cerezlerini yerleştirmek icin izninize ihtiyacımız olacak.
Daha detaylı bilgi icin, cerezler sayfamıza bakınız.
Ucuncu taraf cerezlerini kabul et

https://www.reddit.com/r/linux_gaming/comments/vrr285/_/iewwumf

Bu yorum mesela rahatlıkla sandboxing escape uygulanabileceğini soyluyor. Bu izin gercekten sandboxing Escape'e mi sebep oluyor? Ayrıca bu izni vermeden oyunları nasıl acabilirim? Sanırsam ozel bir Wine patch'inin oluşturulması gerekiliyor. Ama bilmiyorum.

Zar zor buldum. Bu resimdeki sistem cağrılarına izin veriyormuş[1]. Guvenlik acığı demek icin ptrace tek başına bile yeterli gorunuşe gore[2][3][4].

Pek kimse umursamıyor haklı olarak ama hic hoş gozukmuyor. Oyunlar sunucu tarafında hile koruması uygulamak yerine client tarafına anticheat bahanesine sığınarak guvenlik acığına sebep oluyor. Keşke wine'ı kurcalayacak bilgim olsa da oyunlara ozel bir patch geliştirebilsem ama gucum yetmiyor.

[1]: https://github.com/flatpak/flatpak/blob/main/common/flatpak-run.c#L3247-L3255
[2]: What's the risk from enabling ptrace in docker?
[3]: Security implications of `--cap-add=SYS_PTRACE --security-opt seccomp=unconfined`? (needed for rr)
[4]: ptrace(2) - Linux manual page

Dosya Ekleri Screenshot from 2023-01-28 01-02-35.png 33,4 KB · Goruntuleme: 10