Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
наскоро бяха публикувани коригиращи актуализации от комплекта инструменти Flatpak за различните версии 1.14.4, 1.12.8, 1.10.8 и 1.15.4, които вече са налични и които решават две уязвимости.
За тези, които не са запознати с Flatpak, трябва да знаете, че това дава възможност на разработчиците на приложения да опростят разпространението на своите програми които не са включени в хранилищата за редовно разпространение чрез подготовка на универсален контейнер без създаване на отделни компилации за всяка дистрибуция.
За потребители, загрижени за сигурността, Flatpak позволява на съмнително приложение да работи в контейнер, предоставяне на достъп само до мрежови функции и потребителски файлове, свързани с приложението. За потребители, които се интересуват от новостите, Flatpak им позволява да инсталират най-новите тестови и стабилни версии на приложения, без да се налага да правят промени в системата.
Ключовата разлика между Flatpak и Snap е, че Snap използва основните компоненти на системната среда и изолация, базирана на филтриране на системни повиквания, докато Flatpak създава отделен системен контейнер и работи с големи пакети за изпълнение, предоставяйки типични пакети вместо пакети като зависимости.
Относно грешките, открити във Flatpak
В тези нови актуализации на защитата, решението се дава на две открити грешки, едно от които беше открито от Ryan Gonzalez (CVE-2023-28101) откри, че злонамерените поддържащи приложението Flatpak могат да манипулират или скрият това разрешение за показване, като поискат разрешения, които включват ANSI терминални контролни кодове или други непечатаеми знаци.
Това беше коригирано във Flatpak 1.14.4, 1.15.4, 1.12.8 и 1.10.8 чрез показване на екранирани непечатаеми знаци (\xXX, \uXXXX, \UXXXXXXXXXX), така че да не променят поведението на терминала, а също и чрез опит непечатаеми знаци в определени контексти като невалидни (непозволени).
Когато инсталирате или актуализирате приложение Flatpak с помощта на Flatpak CLI, на потребителя обикновено се показват специалните разрешения, които новото приложение има в своите метаданни, така че да може да вземе донякъде информирано решение дали да разреши неговото инсталиране.
При възстановяване на a разрешения за приложение за показване на потребителя, графичният интерфейс продължава отговарящ за филтрирането или избягването на всички знаци, които те имат специално значение за вашите GUI библиотеки.
Отчасти от описанието на уязвимоститеТе споделят с нас следното:
- CVE-2023-28100: възможност за копиране и поставяне на текст във входния буфер на виртуалната конзола чрез TIOCLINUX ioctl манипулиране при инсталиране на пакет Flatpak, създаден от нападател. Например, уязвимостта може да се използва за организиране на стартирането на произволни конзолни команди, след като инсталационният процес на пакет от трета страна приключи. Проблемът се появява само в класическата виртуална конзола (/dev/tty1, /dev/tty2 и т.н.) и не засяга сесиите в xterm, gnome-terminal, Konsole и други графични терминали. Уязвимостта не е специфична за flatpak и може да се използва за атака на други приложения, например подобни уязвимости бяха открити по-рано, които позволяваха заместване на знаци чрез интерфейса TIOCSTI ioctl в /bin/ sandbox и snap.
- CVE-2023 28101-– Възможност за използване на изходни последователности в списъка с разрешения в метаданните на пакета, за да се скрие информация за исканите разширени разрешения, които се показват в терминала по време на инсталиране на пакет или надстройка чрез интерфейса на командния ред. Хакер може да използва тази уязвимост, за да подведе потребителите относно разрешенията, използвани в пакета. Споменава се, че GUI за libflatpak, като GNOME Software и KDE Plasma Discover, не са пряко засегнати от това.
Накрая се споменава, че като заобиколно решение можете да използвате GUI като софтуерния център на GNOME вместо командния ред
интерфейс, или също така се препоръчва да инсталирате само приложения, на чиито поддържащи лица имате доверие.
Ако се интересувате да научите повече за него, можете да се консултирате с подробности в следващия линк.