Ik kwam iets tegen over een vulnerability van Firejail op
https://blog.desdelinux.net/en/Dangerou ... -gnu-guix/
“Having write access to the .firejail directory allows you to override mount points OverlayFS with a symbolic link and change any file on the system. The researcher has prepared a working prototype of the exploit, which will be published one week after the release of the fix. The problem appears since version 0.9.30. In version 0.9.64.4, the vulnerability was blocked by disabling OverlayFS support.
To block the vulnerability in an alternative way, you can also disable OverlayFS by adding the parameter "overlayfs" with the value "no" to /etc/firejail/firejail.config.”
De firejail versie op mijn PC is 0.9.62. Als ik het goed begrijp zit daar dus een kwetsbaarheid in.
Na lang zoeken op internet, heb ik niet gevonden wat ik nu het beste kon doen. Heeft iemand een advies voor me?
(kwetsbaarheid?) Firejail
Re: (kwetsbaarheid?) Firejail
Dag TheoB12,
Als je geen roekeloze dingen doet zoals het blindelings openen van bijlages of aanklikken van knoppen of URL's (internetadressen) in email waarvan je over de legitimiteit of echtheid twijfelt, en daarnaast op Internet niet naar 'ahum' sites gaat en verder ook onverwijld updates installeert die worden aangeboden via bijwerkbeheer, is het veilig genoeg om gewoon af te wachten tot een security-patch van Firejail zichtbaar is in bijwerkbeheer, en die uiteraard zo spoedig mogelijk installeren.
Als je geen roekeloze dingen doet zoals het blindelings openen van bijlages of aanklikken van knoppen of URL's (internetadressen) in email waarvan je over de legitimiteit of echtheid twijfelt, en daarnaast op Internet niet naar 'ahum' sites gaat en verder ook onverwijld updates installeert die worden aangeboden via bijwerkbeheer, is het veilig genoeg om gewoon af te wachten tot een security-patch van Firejail zichtbaar is in bijwerkbeheer, en die uiteraard zo spoedig mogelijk installeren.
If it ain't broken, don't fix it.
- emvedeesje
- Guru
- Berichten: 770
- Lid geworden op: Zo 17 Jun 2018, 11:03
- Locatie: Aalter-Ovl-Belgie
Re: (kwetsbaarheid?) Firejail
in /etc/firejail/firejail.config en firejail 0.9.62 staat inderdaad:
Daar ga ik nu mee draaien en afwachten.
En in Mint-20 draai ik chromium vanaf het bureaublad waar in de Chromium opdracht staat:
Of ook, vanuit de terminal:
Om alle gekoppelde volumes te beschermen.
Momenteel is er enkel toegang mogelijk naar de map Downloads en /tmp.
Veel info staat hier: https://manpages.ubuntu.com/manpages/fo ... 20profiles
Waarschijnlijk is deze bescherming meer dan voldoende?
groeten van Michael
heb het nu vervangen door:# Enable or disable overlayfs features, default enabled.
# overlayfs yes
Code: Selecteer alles
overlayfs no
En in Mint-20 draai ik chromium vanaf het bureaublad waar in de Chromium opdracht staat:
Code: Selecteer alles
firejail "--blacklist=/media/" chromium %U
Code: Selecteer alles
firejail "--blacklist=/media/" chromium %U
Momenteel is er enkel toegang mogelijk naar de map Downloads en /tmp.
Veel info staat hier: https://manpages.ubuntu.com/manpages/fo ... 20profiles
Waarschijnlijk is deze bescherming meer dan voldoende?
groeten van Michael
Mint cinnamon fan
Mint cinnamon-21.3 (vorige linux: LMDE-5 / Mint cinnamon-20+19+18+17 / Ubuntu-16+14+12)
Mint cinnamon-21.3 (vorige linux: LMDE-5 / Mint cinnamon-20+19+18+17 / Ubuntu-16+14+12)
Re: (kwetsbaarheid?) Firejail
Dank voor het melden. Eénregelige reparatie:
Code: Selecteer alles
sudo sed -i 's/# overlayfs yes/overlayfs no/' /etc/firejail/firejail.config
Tip: doe deze 10 dingen direct na installatie van Linux Mint 21.3 Virginia
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken en niets is geheel veilig. Zorg dus voor zoveel mogelijk niets.
Re: (kwetsbaarheid?) Firejail
De “Eénregelige reparatie” vond ik de eenvoudigste oplossing. (Dat moest ik blijkbaar doen als beheerder.)
Toen ik /etc/firejail/firejail.config als url had ingevoerd, zag ik dat er nu “overlayfs no” staat.
Daarna heb ik in de terminal firejail firefox voor het gebruikersaccount doorgevoerd.
Ik weet niet of het een probleem is, maar in de Terminal stond enkele keren warning en fout:
“firejail firefox
(...)
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Parent pid 2419, child pid 2420
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 301.58 ms
dpkg-query: fout: fout bij het openen van bestand '/var/lib/dpkg/status' met pakketinformatie om er uit te lezen: No such file or directory
Parent is shutting down, bye…”
(Om de zandbank standaard te maken moest ik even zoeken. - Eigenschappen – STARTER – Opdracht:)
Om te controleren firejail –tree in de terminal.
Ik kreeg een waarschuwing vanwege mogelijke sudo-bevoegdheid. Genegeerd.
Eindregels in de terminal:
(…)
/usr/lib/firefox/firefox -contentproc -childID 3 -isForBrowser -prefsLen 5060 -prefMapSize 239498 -parentBuildID 20210415204500 -appdir /usr/lib/firefox/browser 9 true tab
Ik snap niet wat daar staat maar “true tab“ klinkt goed.
Dubbelcheck gedaan. Een bijlage toevoegen bij een mail, kon – zoals het hoort – alleen vanuit de map ‘Downloads’.
Tenzij de eerder genoemde warning en fout toch verontrustend zijn, neem ik aan dat het nu in orde is.
Inderdaad veel info (over security) op de manpages over Firejail, maar vaak te hoog gegrepen voor mij.
Een moment van onoplettendheid blijft mogelijk maar roekeloosheid bij het surfen etc, probeer ik zeker te vermijden. Het installeren van een bijgewerkt pakket voor o.a. systemd en systeemkern, stel ik wel meestal even uit.
Bedankt voor alle hulp,
Theo
Toen ik /etc/firejail/firejail.config als url had ingevoerd, zag ik dat er nu “overlayfs no” staat.
Daarna heb ik in de terminal firejail firefox voor het gebruikersaccount doorgevoerd.
Ik weet niet of het een probleem is, maar in de Terminal stond enkele keren warning en fout:
“firejail firefox
(...)
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Warning: networking feature is disabled in Firejail configuration file
Parent pid 2419, child pid 2420
Warning: An abstract unix socket for session D-BUS might still be available. Use --net or remove unix from --protocol set.
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Post-exec seccomp protector enabled
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Child process initialized in 301.58 ms
dpkg-query: fout: fout bij het openen van bestand '/var/lib/dpkg/status' met pakketinformatie om er uit te lezen: No such file or directory
Parent is shutting down, bye…”
(Om de zandbank standaard te maken moest ik even zoeken. - Eigenschappen – STARTER – Opdracht:)
Om te controleren firejail –tree in de terminal.
Ik kreeg een waarschuwing vanwege mogelijke sudo-bevoegdheid. Genegeerd.
Eindregels in de terminal:
(…)
/usr/lib/firefox/firefox -contentproc -childID 3 -isForBrowser -prefsLen 5060 -prefMapSize 239498 -parentBuildID 20210415204500 -appdir /usr/lib/firefox/browser 9 true tab
Ik snap niet wat daar staat maar “true tab“ klinkt goed.
Dubbelcheck gedaan. Een bijlage toevoegen bij een mail, kon – zoals het hoort – alleen vanuit de map ‘Downloads’.
Tenzij de eerder genoemde warning en fout toch verontrustend zijn, neem ik aan dat het nu in orde is.
Inderdaad veel info (over security) op de manpages over Firejail, maar vaak te hoog gegrepen voor mij.
Een moment van onoplettendheid blijft mogelijk maar roekeloosheid bij het surfen etc, probeer ik zeker te vermijden. Het installeren van een bijgewerkt pakket voor o.a. systemd en systeemkern, stel ik wel meestal even uit.
Bedankt voor alle hulp,
Theo
Wie is er online
Gebruikers op dit forum: Geen geregistreerde gebruikers en 19 gasten