Flatpak 샌드박스, 임의 파일 접근 및 코드 실행 가능 취약점 발견!

취약점은 Flatpak 샌드박스 내에서 심볼릭 링크(Symlink)를 통해 호스트 시스템의 임의 파일에 접근할 수 있다는 점을 악용한다. Flatpak Portal은 샌드박스 내에서 경로를 노출하는 옵션을 허용하며, 이를 통해 샌드박스 내에서 임의의 파일에 대한 접근 권한(Access Rights)을 획득할 수 있다. 이는 호스트 시스템에서 코드 실행(Code Execution)으로 이어질 수 있는 심각한 문제이다.

해당 취약점은 Flatpak 1.16.4 버전에서 패치되었으며, 1.18.0 버전에서도 수정될 예정이다. 임시적인 해결책으로는 Flatpak Portal을 비활성화하는 방법이 제시되었지만, 이 경우 일부 앱의 기능이 제대로 작동하지 않을 수 있다. 따라서, 최신 버전으로 업데이트(Update to the latest version)하여 패치를 적용하는 것이 권장된다.

커뮤니티에서는 심볼릭 링크(Symlink)와 관련된 보안 문제에 대한 우려를 표명하며, 유사한 취약점이 반복적으로 발견되는 점을 지적했다. 특히, 보안에 민감한 환경에서 심볼릭 링크를 다루는 것의 위험성을 강조했다. 또한, Go 1.26.2 버전에서 수정된 심볼릭 링크 관련 버그를 언급하며, 지속적인 보안 업데이트(Continuous Security Updates)의 중요성을 강조했다.