নতুন ফিক্স আপডেটের সাথে ফ্ল্যাটপ্যাকের দুটি বাগ সংশোধন করা হয়েছে

সম্প্রতি ছিল সংশোধনমূলক আপডেট প্রকাশিত হয়েছে টুল কিট এর Flatpak 1.14.4, 1.12.8, 1.10.8 এবং 1.15.4 বিভিন্ন সংস্করণের জন্য, যা ইতিমধ্যে উপলব্ধ এবং দুটি দুর্বলতার সমাধান করে।

যারা ফ্ল্যাটপাকের সাথে অপরিচিত তাদের জন্য আপনার জানা উচিত যে এটি অ্যাপ্লিকেশন ডেভেলপারদের জন্য তাদের প্রোগ্রামগুলির বিতরণ সহজ করা সম্ভব করে তোলে যেগুলি প্রতিটি ডিস্ট্রিবিউশনের জন্য আলাদা বিল্ড তৈরি না করে একটি সর্বজনীন ধারক প্রস্তুত করে নিয়মিত বিতরণ ভান্ডারে অন্তর্ভুক্ত করা হয় না।

নিরাপত্তা-সচেতন ব্যবহারকারীদের জন্য, Flatpak একটি সন্দেহজনক অ্যাপ্লিকেশন একটি পাত্রে চালানোর অনুমতি দেয়, শুধুমাত্র নেটওয়ার্ক ফাংশন এবং অ্যাপ্লিকেশনের সাথে যুক্ত ব্যবহারকারী ফাইল অ্যাক্সেস প্রদান. নতুন কি বিষয়ে আগ্রহী ব্যবহারকারীদের জন্য, ফ্ল্যাটপ্যাক তাদের সিস্টেমে পরিবর্তন না করেই অ্যাপ্লিকেশনের সর্বশেষ পরীক্ষা এবং স্থিতিশীল সংস্করণ ইনস্টল করার অনুমতি দেয়।

Flatpak এবং Snap-এর মধ্যে মূল পার্থক্য হল যে Snap প্রধান সিস্টেম পরিবেশ উপাদান এবং সিস্টেম কল ফিল্টারিং-ভিত্তিক বিচ্ছিন্নতা ব্যবহার করে, যখন Flatpak একটি পৃথক সিস্টেম কন্টেইনার তৈরি করে এবং বড় রানটাইম স্যুটগুলির সাথে কাজ করে, নির্ভরতা হিসাবে প্যাকেজের পরিবর্তে সাধারণ প্যাকেজ প্রদান করে।

Flatpak-এ ​​শনাক্ত করা বাগ সম্পর্কে

এই নতুন নিরাপত্তা আপডেটে, সমাধান দুটি সনাক্ত ত্রুটি দেওয়া হয়, যার মধ্যে একটি রায়ান গঞ্জালেজ (CVE-2023-28101) আবিষ্কার করেছিলেন যে Flatpak অ্যাপ্লিকেশনের দূষিত রক্ষণাবেক্ষণকারীরা ANSI টার্মিনাল কন্ট্রোল কোড বা অন্যান্য অ-মুদ্রণযোগ্য অক্ষর অন্তর্ভুক্ত করার অনুমতির অনুরোধ করে এই অনুমতি প্রদর্শনকে ম্যানিপুলেট বা লুকিয়ে রাখতে পারে।

এটিকে ফ্ল্যাটপ্যাক 1.14.4, 1.15.4, 1.12.8 এবং 1.10.8 এ পালানো নন-প্রিন্টিং অক্ষর (\xXX, \uXXXX, \UXXXXXXXXXX) প্রদর্শন করে ঠিক করা হয়েছে যাতে তারা টার্মিনাল আচরণ পরিবর্তন না করে এবং চেষ্টা করেও কিছু প্রেক্ষাপটে অ-মুদ্রণযোগ্য অক্ষরগুলি অবৈধ হিসাবে (অনুমতি নেই)।

ফ্ল্যাটপ্যাক সিএলআই ব্যবহার করে একটি ফ্ল্যাটপ্যাক অ্যাপ ইনস্টল বা আপডেট করার সময়, ব্যবহারকারীকে সাধারণত নতুন অ্যাপটির মেটাডেটাতে বিশেষ অনুমতিগুলি দেখানো হয়, যাতে তারা এটির ইনস্টলেশনের অনুমতি দেবে কিনা সে সম্পর্কে কিছুটা অবগত সিদ্ধান্ত নিতে পারে।

পুনরুদ্ধার করার সময় a ব্যবহারকারীর কাছে প্রদর্শনের জন্য অ্যাপ্লিকেশন অনুমতি, গ্রাফিকাল ইন্টারফেস চলতে থাকে যে কোনো অক্ষর ফিল্টারিং বা এস্কেপ করার জন্য দায়ী আপনার GUI লাইব্রেরিতে তাদের বিশেষ অর্থ রয়েছে।

অংশ জন্য দুর্বলতার বর্ণনা থেকেতারা আমাদের সাথে নিম্নলিখিত শেয়ার করুন:

• সিভিই -2023-28100: আক্রমণকারী-নৈপুণ্য ফ্ল্যাটপ্যাক প্যাকেজ ইনস্টল করার সময় TIOCLINUX ioctl ম্যানিপুলেশনের মাধ্যমে ভার্চুয়াল কনসোল ইনপুট বাফারে পাঠ্য অনুলিপি এবং পেস্ট করার ক্ষমতা। উদাহরণস্বরূপ, একটি তৃতীয় পক্ষের প্যাকেজের ইনস্টলেশন প্রক্রিয়া সম্পূর্ণ হওয়ার পরে অরবিট্রারি কনসোল কমান্ড চালু করার জন্য দুর্বলতা ব্যবহার করা যেতে পারে। সমস্যাটি শুধুমাত্র ক্লাসিক ভার্চুয়াল কনসোলে (/dev/tty1, /dev/tty2, ইত্যাদি) দেখা যায় এবং xterm, gnome-terminal, Konsole এবং অন্যান্য গ্রাফিক্যাল টার্মিনালের সেশনগুলিকে প্রভাবিত করে না। দুর্বলতা ফ্ল্যাটপ্যাকের জন্য নির্দিষ্ট নয় এবং অন্যান্য অ্যাপ্লিকেশনকে আক্রমণ করতে ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, অনুরূপ দুর্বলতাগুলি আগে পাওয়া গিয়েছিল যা /bin/ স্যান্ডবক্স এবং স্ন্যাপ-এ TIOCSTI ioctl ইন্টারফেসের মাধ্যমে অক্ষর প্রতিস্থাপনের অনুমতি দেয়।
• জন্য CVE-2023-28101- প্যাকেজ ইন্সটলেশনের সময় টার্মিনালে প্রদর্শিত বা কমান্ড লাইন ইন্টারফেসের মাধ্যমে আপগ্রেড করার জন্য অনুরোধকৃত বর্ধিত অনুমতিগুলি সম্পর্কে তথ্য লুকানোর জন্য প্যাকেজ মেটাডেটাতে অনুমতি তালিকায় এস্কেপ সিকোয়েন্স ব্যবহার করার ক্ষমতা। একজন আক্রমণকারী প্যাকেজে ব্যবহৃত অনুমতিগুলি সম্পর্কে ব্যবহারকারীদের প্রতারণা করতে এই দুর্বলতা ব্যবহার করতে পারে। এটি উল্লেখ করা হয়েছে যে libflatpak-এর জন্য GUI, যেমন GNOME সফটওয়্যার এবং KDE প্লাজমা ডিসকভার, এটি দ্বারা সরাসরি প্রভাবিত হয় না।

অবশেষে, এটি উল্লেখ করা হয়েছে যে একটি সমাধান হিসাবে আপনি কমান্ড লাইনের পরিবর্তে জিনোম সফ্টওয়্যার সেন্টারের মতো একটি GUI ব্যবহার করতে পারেন
ইন্টারফেস, অথবা এটি শুধুমাত্র সেই অ্যাপ্লিকেশনগুলি ইনস্টল করার সুপারিশ করা হয় যার রক্ষণাবেক্ষণকারীদের আপনি বিশ্বাস করেন।

আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন তবে আপনি পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্কে বিশদ।