Ako se iskoriste, ovi nedostaci mogu omogućiti napadačima da dobiju neovlašteni pristup osjetljivim informacijama ili općenito uzrokovati probleme
nedavno bili objavljena korektivna ažuriranja kompleta alata Flatpak za različite verzije 1.14.4, 1.12.8, 1.10.8 i 1.15.4, koje su već dostupne i koje rješavaju dvije ranjivosti.
Za one koji nisu upoznati s Flatpakom, trebali biste znati da je ovo omogućava programerima aplikacija da pojednostave distribuciju svojih programa koji nisu uključeni u redovna distributivna spremišta pripremajući univerzalni kontejner bez kreiranja zasebnih verzija za svaku distribuciju.
Za korisnike koji brinu o sigurnosti, Flatpak dozvoljava sumnjivoj aplikaciji da se pokrene u kontejneru, dajući pristup samo mrežnim funkcijama i korisničkim datotekama povezanim s aplikacijom. Za korisnike koje zanima šta je novo, Flatpak im omogućava da instaliraju najnovije testne i stabilne verzije aplikacija bez potrebe za promjenama na sistemu.
Ključna razlika između Flatpaka i Snapa je u tome što Snap koristi glavne komponente sistemskog okruženja i izolaciju zasnovanu na filtriranju sistemskih poziva, dok Flatpak kreira poseban sistemski kontejner i radi sa velikim runtime paketima, pružajući tipične pakete umesto paketa kao zavisnosti.
O greškama otkrivenim u Flatpaku
U ovim novim sigurnosnim ažuriranjima, rješenje se daje za dvije otkrivene greške, od kojih je jedan otkrio Ryan Gonzalez (CVE-2023-28101) otkrio je da zlonamjerni održavatelji aplikacije Flatpak mogu manipulirati ili sakriti ovaj prikaz dozvole tražeći dozvole koje uključuju ANSI terminalske kontrolne kodove ili druge znakove koji se ne mogu ispisati.
Ovo je popravljeno u Flatpak-u 1.14.4, 1.15.4, 1.12.8 i 1.10.8 tako što su prikazani znakovi koji se ne štampaju (\xXX, \uXXXX, \UXXXXXXXXXX) tako da ne mijenjaju ponašanje terminala, kao i pokušajem znakovi koji se ne mogu ispisati u određenim kontekstima kao nevažeći (nije dozvoljeno).
Prilikom instaliranja ili ažuriranja aplikacije Flatpak koristeći flatpak CLI, korisniku se obično prikazuju posebne dozvole koje nova aplikacija ima u svojim metapodacima, tako da može donijeti donekle informiranu odluku o tome hoće li dozvoliti njenu instalaciju.
Prilikom oporavka a dozvole aplikacije za prikaz korisniku, grafički interfejs se nastavlja biti odgovoran za filtriranje ili izbjegavanje svih znakova koji imaju posebno značenje za vaše GUI biblioteke.
Za dio iz opisa ranjivostiSa nama dijele sljedeće:
- CVE-2023-28100: mogućnost kopiranja i lijepljenja teksta u bafer za unos virtuelne konzole putem TIOCLINUX ioctl manipulacije prilikom instaliranja Flatpak paketa kreiranog od napadača. Na primjer, ranjivost bi se mogla koristiti za insceniranje pokretanja proizvoljnih naredbi konzole nakon što se završi proces instalacije paketa treće strane. Problem se pojavljuje samo u klasičnoj virtuelnoj konzoli (/dev/tty1, /dev/tty2, itd.) i ne utiče na sesije u xterm, gnome-terminal, Konsole i drugim grafičkim terminalima. Ranjivost nije specifična za flatpak i može se koristiti za napad na druge aplikacije, na primjer, ranije su pronađene slične ranjivosti koje su dozvoljavale zamjenu znakova preko TIOCSTI ioctl sučelja u /bin/ sandboxu i snap.
- CVE-2023-28101– Mogućnost korištenja escape sekvenci na listi dozvola u metapodacima paketa za sakrivanje informacija o traženim proširenim dozvolama koje se prikazuju u terminalu tokom instalacije paketa ili nadogradnje putem interfejsa komandne linije. Napadač bi mogao iskoristiti ovu ranjivost da prevari korisnike o dozvolama koje se koriste na paketu. Spominje se da GUI za libflatpak, kao što su GNOME Software i KDE Plasma Discover, nisu direktno pogođeni ovim.
Konačno, spominje se da kao zaobilazno rješenje možete koristiti GUI kao što je GNOME Software Center umjesto komandne linije
interfejs, ili se takođe preporučuje da instalirate samo aplikacije čijim održavaocima verujete.
Ako ste zainteresovani da saznate više o tome, možete konsultovati detalje na sljedećem linku.