🗓️ Contexte

Article publié le 23 avril 2026 par Sebastian Wick (mainteneur de Flatpak) sur son blog personnel. L’article constitue un post-mortem technique détaillé d’une vulnérabilité critique découverte dans Flatpak suite à un audit de sécurité réalisé par Codean Labs.

🔍 Problème fondamental

L’article expose une classe de vulnérabilités liées à la gestion des chemins de fichiers dans les systèmes avec frontières de sécurité. Le problème central est que les chaînes de chemin (path strings) ne sont pas des références stables à des fichiers : entre le moment où un chemin est vérifié et celui où il est utilisé, le système de fichiers peut être modifié. Cette classe d’attaque est connue sous le nom de TOCTOU (Time-Of-Check to Time-Of-Use).

Les vecteurs d’exploitation incluent :

  • Traversée de répertoire via .. dans les sous-chemins
  • Symlinks malveillants dans les composants du chemin
  • Remplacement de répertoires par des symlinks pendant la résolution du chemin

🐛 Vulnérabilité CVE-2026-34078

CVE-2026-34078 est décrit comme un sandbox escape complet dans Flatpak. La cause racine est architecturale :

  • flatpak run a été conçu comme outil en ligne de commande pour utilisateurs de confiance, acceptant des chemins en entrée
  • Le portail Flatpak (service D-Bus accessible aux applications sandboxées) construisait des invocations flatpak run et les exécutait
  • Cette architecture connectait un composant conçu pour des entrées de confiance directement à un appelant non fiable (l’application sandboxée)

🔧 Correction appliquée

La correction a nécessité un audit complet de la chaîne d’appel, remplaçant tous les chemins par des descripteurs de fichiers (fd) :

  • Modifications du portail, de flatpak-run, flatpak_run_app, flatpak_run_setup_base_argv
  • Ajout de nouvelles options : --app-fd, --usr-fd, --bind-fd, --ro-bind-fd
  • Utilisation de glnx_chaseat (nouvelle fonction de libglnx) pour la traversée sécurisée de chemins

📦 Régressions post-correctif

Les correctifs ont temporairement empêché le lancement d’applications Steam, WebKit et Chromium.

📄 Nature de l’article

Post-mortem technique rédigé par le mainteneur du projet, combinant explication de la classe de vulnérabilité, analyse de la cause racine de CVE-2026-34078 et description des corrections apportées à Flatpak et libglnx.

🧠 TTPs et IOCs détectés

TTP

  • T1574 — Hijack Execution Flow (Privilege Escalation)
  • T1055 — Process Injection (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)

IOC

  • CVEs : CVE-2026-34078NVD · CIRCL

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ blog.sebastianwick.net — source non référencée (0pts)
  • ✅ 13422 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.sebastianwick.net/posts/how-hard-is-it-to-open-a-file/