La découverte et l’exploitation d’une vulnérabilité dans snap-confine ont été extrêmement difficiles (surtout dans une installation par défaut d’Ubuntu), car snap-confine utilise un style de programmation très défensif, des profils AppArmor, des filtres seccomp, des espaces de noms mount et deux programmes d’aide Go. Finalement, nous avons découvert deux vulnérabilités :
CVE-2021-44730, une attaque hardlink qui n’est exploitable que dans une configuration hors défaut (lorsque le paramètre fs.protected_hardlinks du kernel est égal à 0) ;

CVE-2021-44731, une condition de course exploitable dans les installations par défaut d’Ubuntu Desktop et les installations par défaut d’Ubuntu Server (l’installation par défaut, plus l’un des « ?Featured Server Snaps ? » proposés lors de l’installation ; par exemple « ?heroku ? » ou « ?microk8s ? »).

En travaillant sur snap-confine, nous avons également découvert plusieurs vulnérabilités dans des paquets et des bibliothèques connexes :
CVE-2021-3996 et CVE-2021-3995 dans util-linux (libmount et umount),
CVE-2021-3998 et CVE-2021-3999 dans la glibc (realpath[] et getcwd[]), et _CVE-2021-3997 dans systemd (systemd-tmpfiles).

Comme toujours, nous sommes reconnaissants à la grande communauté dont nous faisons partie, pour avoir trouvé et divulgué de tels problèmes de sécurité de manière responsable. Nous sommes également reconnaissants aux professionnels de nos équipes de sécurité et de plateforme instantanée qui ont agi rapidement pour atténuer la vulnérabilité, ainsi qu’aux professionnels d’autres organisations qui ont travaillé en temps voulu sur les problèmes respectifs divulgués. À l’heure actuelle, grâce aux mises à jour automatique, la plupart des installations de la plateforme snap distribuées dans le monde ont déjà été corrigées par des mises à jour. Des mises à jour pour d’autres systèmes de conditionnement sont également disponibles et en cours de déploiement. Pour plus d’informations, veuillez consulter les détails dans les CVEs respectifs :
CVE-2021-44731
CVE-2021-44730

La plateforme snap a été développée pour apporter des installations d’applications sécurisées à Ubuntu et aux autres distributions Linux. C’est pourquoi, au cours de son développement, nous avons pris grand soin de nous assurer que les sous-systèmes dont elle dépend sont utilisés en toute sécurité. Malheureusement, une plateforme de confinement aussi moderne implique de nombreux sous-systèmes, et parfois nous faisons des erreurs. Heureusement, Canonical et Ubuntu font partie d’une grande communauté qui comprend des chercheurs en sécurité compétents.