(kwetsbaarheid?) Firejail

Nieuw met Linux Mint? Stel je vragen hier!
TheoB12
Junior
Junior
Berichten: 36
Lid geworden op: Zo 29 Dec 2019, 16:17

(kwetsbaarheid?) Firejail

Berichtdoor TheoB12 » Zo 18 Apr 2021, 21:27

Ik kwam iets tegen over een vulnerability van Firejail op
https://blog.desdelinux.net/en/Dangerou ... -gnu-guix/

“Having write access to the .firejail directory allows you to override mount points OverlayFS with a symbolic link and change any file on the system. The researcher has prepared a working prototype of the exploit, which will be published one week after the release of the fix. The problem appears since version 0.9.30. In version 0.9.64.4, the vulnerability was blocked by disabling OverlayFS support.
To block the vulnerability in an alternative way, you can also disable OverlayFS by adding the parameter "overlayfs" with the value "no" to /etc/firejail/firejail.config.”

De firejail versie op mijn PC is 0.9.62. Als ik het goed begrijp zit daar dus een kwetsbaarheid in.
Na lang zoeken op internet, heb ik niet gevonden wat ik nu het beste kon doen. Heeft iemand een advies voor me?
Gebruikersavatar
Jamint
Held
Held
Berichten: 305
Lid geworden op: Zo 21 Jan 2018, 22:10
Locatie: Noord-Brabant NL

Re: (kwetsbaarheid?) Firejail

Berichtdoor Jamint » Zo 18 Apr 2021, 22:24

Dag TheoB12,

Als je geen roekeloze dingen doet zoals het blindelings openen van bijlages of aanklikken van knoppen of URL's (internetadressen) in email waarvan je over de legitimiteit of echtheid twijfelt, en daarnaast op Internet niet naar 'ahum' :-x sites gaat en verder ook onverwijld updates installeert die worden aangeboden via bijwerkbeheer, is het veilig genoeg om gewoon af te wachten tot een security-patch van Firejail zichtbaar is in bijwerkbeheer, en die uiteraard zo spoedig mogelijk installeren.
If it ain't broken, don't fix it.
Gebruikersavatar
emvedeesje
Guru
Guru
Berichten: 762
Lid geworden op: Zo 17 Jun 2018, 11:03
Locatie: Aalter-Ovl-Belgie

Re: (kwetsbaarheid?) Firejail

Berichtdoor emvedeesje » Ma 19 Apr 2021, 09:52

in /etc/firejail/firejail.config en firejail 0.9.62 staat inderdaad:
# Enable or disable overlayfs features, default enabled.
# overlayfs yes
heb het nu vervangen door:

Code: Selecteer alles

overlayfs no
Daar ga ik nu mee draaien en afwachten.

En in Mint-20 draai ik chromium vanaf het bureaublad waar in de Chromium opdracht staat:

Code: Selecteer alles

firejail "--blacklist=/media/" chromium %U
Of ook, vanuit de terminal:

Code: Selecteer alles

firejail "--blacklist=/media/" chromium %U
Om alle gekoppelde volumes te beschermen.
Momenteel is er enkel toegang mogelijk naar de map Downloads en /tmp.

Veel info staat hier: https://manpages.ubuntu.com/manpages/fo ... 20profiles

Waarschijnlijk is deze bescherming meer dan voldoende?

groeten van Michael
Mint cinnamon fan
Mint cinnamon-21.3 (vorige linux: LMDE-5 / Mint cinnamon-20+19+18+17 / Ubuntu-16+14+12)
Gebruikersavatar
Pjotr
Held
Held
Berichten: 511
Lid geworden op: Zo 03 Jan 2016, 15:44

Re: (kwetsbaarheid?) Firejail

Berichtdoor Pjotr » Ma 19 Apr 2021, 10:32

Dank voor het melden. Eénregelige reparatie:

Code: Selecteer alles

sudo sed -i 's/# overlayfs yes/overlayfs no/' /etc/firejail/firejail.config
Tip: doe deze 10 dingen direct na installatie van Linux Mint 21.3 Virginia
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
TheoB12
Junior
Junior
Berichten: 36
Lid geworden op: Zo 29 Dec 2019, 16:17

Re: (kwetsbaarheid?) Firejail

Berichtdoor TheoB12 » Di 20 Apr 2021, 23:31

De “Eénregelige reparatie” vond ik de eenvoudigste oplossing. (Dat moest ik blijkbaar doen als beheerder.)
Toen ik /etc/firejail/firejail.config als url had ingevoerd, zag ik dat er nu “overlayfs no” staat.

Daarna heb ik in de terminal firejail firefox voor het gebruikersaccount doorgevoerd.
Ik weet niet of het een probleem is, maar in de Terminal stond enkele keren warning en fout:
“firejail firefox
(...)
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Parent pid 2419, child pid 2420
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 301.58 ms
dpkg-query: fout: fout bij het openen van bestand '/var/lib/dpkg/status' met pakketinformatie om er uit te lezen: No such file or directory

Parent is shutting down, bye…”


(Om de zandbank standaard te maken moest ik even zoeken. - Eigenschappen – STARTER – Opdracht:)

Om te controleren firejail –tree in de terminal.
Ik kreeg een waarschuwing vanwege mogelijke sudo-bevoegdheid. Genegeerd.
Eindregels in de terminal:
(…)
/usr/lib/firefox/firefox -contentproc -childID 3 -isForBrowser -prefsLen 5060 -prefMapSize 239498 -parentBuildID 20210415204500 -appdir /usr/lib/firefox/browser 9 true tab
Ik snap niet wat daar staat maar “true tab“ klinkt goed.

Dubbelcheck gedaan. Een bijlage toevoegen bij een mail, kon – zoals het hoort – alleen vanuit de map ‘Downloads’.

Tenzij de eerder genoemde warning en fout toch verontrustend zijn, neem ik aan dat het nu in orde is.

Inderdaad veel info (over security) op de manpages over Firejail, maar vaak te hoog gegrepen voor mij.

Een moment van onoplettendheid blijft mogelijk maar roekeloosheid bij het surfen etc, probeer ik zeker te vermijden. Het installeren van een bijgewerkt pakket voor o.a. systemd en systeemkern, stel ik wel meestal even uit.

Bedankt voor alle hulp,
Theo

Terug naar “Newbie vragen”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 18 gasten