🔔 В Ubuntu нашли способ получить root через snap и /tmp Всем привет! В Ubuntu всплыл довольно грязный баг, который даёт локальному пользователю полный root-доступ. Уязвимость CVE-2026-3888 связана с тем, как взаимодействуют snap-confine и systemd-tmpfiles. По сути, это классическая race condition, но реализована она очень красиво и неприятно. ❔ Сценарий атаки завязан на каталог /tmp/.snap. systemd-tmpfiles периодически чистит /tmp, а snap-confine потом пересоздаёт структуру для sandbox. Если поймать момент между удалением и пересозданием, можно подменить каталог и подсунуть свои библиотеки. Дальше происходит bind-mount с правами root, и ты уже контролируешь загрузчик и shared libs внутри sandbox. 👨‍💻 Выглядит это примерно так: mv /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange \ /tmp/.snap/usr/lib/x86_64-linux-gnu После этого можно выполнить код с root-правами через любую suid-программу. А дальше классика. Копируешь bash и ставишь suid-бит: cp /bin/bash /var/snap/app/common/bash chmod 4755 /var/snap/app/common/bash И вот у тебя уже полноценный root вне sandbox. 🎁 Отдельно нашли ещё одну уязвимость в uutils coreutils (Rust-версия GNU coreutils). Там тоже race condition в rm. Если успеть подменить каталог на symlink во время удаления, можно удалить произвольные файлы или помочь себе в той же атаке через snap. Особенно удобно, что некоторые root-скрипты из cron чистят доступные пользователю директории. 🛡 Фиксы уже есть. В Ubuntu проблему закрыли в обновлении snapd 2.75. Но сам факт интересный. Это не одна ошибка, а цепочка из race condition + особенностей sandbox + поведения системных утилит. В итоге получился вполне рабочий путь к root. P. S Такие баги я люблю разбирать больше всего. Они не про одну дыру, а про комбинацию мелких недоработок, которые в сумме дают полный контроль над системой. #Linux #Ubuntu #Snap 👍 Белый хакер