Flatpak: критическая уязвимость позволяет полный побег из песочницы — обновитесь немедленно

Любое Flatpak-приложение могло читать, записывать и выполнять что угодно на хосте — sandbox не защищал. Четыре уязвимости исправлены в версии 1.16.4.

Новости Tproger
Обложка: Flatpak: критическая уязвимость позволяет полный побег из песочницы — обновитесь немедленно

Если вы устанавливаете приложения через Flatpak — обновитесь прямо сейчас. В Flatpak обнаружена критическая уязвимость CVE-2026-34078: любое Flatpak-приложение может полностью выйти из песочницы, читать и записывать произвольные файлы на хосте и выполнять код в контексте хоста.

Flatpak — система для установки и запуска десктопных Linux-приложений в изолированной песочнице (sandbox). Используется в Fedora, Ubuntu, Linux Mint и большинстве современных дистрибутивов как безопасная альтернатива прямой установке пакетов.

Ключевые выводы
  • CVE-2026-34078 (Critical) — любое Flatpak-приложение может полностью выйти из песочницы
  • Механизм: portal принимает символические ссылки, контролируемые приложением, и монтирует произвольные пути хоста в sandbox
  • Затронуты все версии до 1.16.4 — обновитесь немедленно
  • Дополнительно исправлены ещё 3 уязвимости: удаление файлов хоста, чтение файлов и отмена операций других пользователей
  • Обнаружено Codean Labs

Как работает уязвимость

Flatpak Portal (сервис, через который приложения запрашивают доступ к ресурсам хоста) принимает пути из опции sandbox-expose. Эти пути могут быть символическими ссылками, контролируемыми самим приложением.

Flatpak разрешает символическую ссылку на хосте и монтирует целевой путь внутрь песочницы. Приложение может создать symlink на / (корень файловой системы) — и получить полный доступ ко всем файлам хоста. Далее это можно использовать для выполнения произвольного кода.

Все уязвимости от 7 апреля

  • CVE-2026-34078 (Critical) — полный побег из песочницы через символические ссылки в sandbox-expose
  • CVE-2026-34079 (Moderate) — удаление произвольных файлов на хост-системе
  • GHSA-2fxp-43j9-pwvc (Low) — чтение файлов в контексте system-helper
  • GHSA-89xm-3m96-w3jg (Low) — отмена операции pull другого пользователя

Что делать

Обновить Flatpak до версии 1.16.4 или выше:

			# Fedora / RHEL
sudo dnf update flatpak

# Ubuntu / Debian
sudo apt update && sudo apt upgrade flatpak

# Проверить версию
flatpak --version

Если обновление невозможно — временное смягчение через отключение Flatpak Portal:

			sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service
Внимание: отключение Portal может привести к некорректной работе некоторых Flatpak-приложений, но закроет вектор атаки.
Частые вопросы
1
Может ли любое приложение из Flathub воспользоваться этой уязвимостью?

Технически да — любое Flatpak-приложение может эксплуатировать CVE-2026-34078. На практике приложения из Flathub проходят ревью, но вредоносный пакет мог бы использовать эту уязвимость до обнаружения.

2
Snap и AppImage тоже затронуты?

Нет. Уязвимость специфична для Flatpak Portal и механизма sandbox-expose. Snap использует другую систему изоляции (AppArmor), AppImage не использует sandbox вовсе.

3
Какие дистрибутивы затронуты?

Все дистрибутивы с Flatpak до версии 1.16.4: Fedora, Ubuntu, Linux Mint, Manjaro, openSUSE, Endless OS и другие. Проверьте версию командой flatpak --version.

Подробности и полный анализ: GitHub Advisory.

В этой статье
  1. Ключевые выводы
  2. Как работает уязвимость
  3. Все уязвимости от 7 апреля
  4. Что делать
  5. Частые вопросы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter