Opraveny dvě chyby ve Flatpak s novými aktualizacemi oprav

Chyba zabezpečení

Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy

nedávno byly vydány opravné aktualizace sady nářadí Flatpak pro různé verze 1.14.4, 1.12.8, 1.10.8 a 1.15.4, které jsou již k dispozici a které řeší dvě zranitelnosti.

Pro ty, kteří Flatpak neznají, byste měli vědět, že toto umožňuje vývojářům aplikací zjednodušit distribuci svých programů které nejsou zahrnuty v běžných distribučních repozitářích tím, že připravíte univerzální kontejner bez vytváření samostatných sestavení pro každou distribuci.

Pro uživatele, kteří dbají na bezpečnost, Flatpak umožňuje sporné aplikaci běžet v kontejneru, poskytující přístup pouze k síťovým funkcím a uživatelským souborům spojeným s aplikací. Uživatelům, kteří se zajímají o novinky, Flatpak umožňuje instalovat nejnovější testovací a stabilní verze aplikací, aniž by museli provádět změny v systému.

Klíčový rozdíl mezi Flatpakem a Snapem je v tom, že Snap používá hlavní komponenty systémového prostředí a izolaci založenou na filtrování systémových volání, zatímco Flatpak vytváří samostatný systémový kontejner a pracuje s velkými runtime sadami, které místo balíčků jako závislosti poskytují typické balíčky.

O chybách zjištěných ve Flatpak

V těchto nových aktualizacích zabezpečení řešením jsou dvě zjištěné chyby, z nichž jeden objevil Ryan Gonzalez (CVE-2023-28101), zjistil, že škodliví správci aplikace Flatpak by mohli manipulovat nebo skrýt toto zobrazení oprávnění tím, že by požadovali oprávnění, která zahrnují řídicí kódy terminálu ANSI nebo jiné netisknutelné znaky.

To bylo opraveno ve Flatpak 1.14.4, 1.15.4, 1.12.8 a 1.10.8 zobrazením uniklých netisknutelných znaků (\xXX, \uXXXX, \UXXXXXXXXXX), aby neměnily chování terminálu, a také pokusem netisknutelné znaky v určitých kontextech jako neplatné (není povoleno).

Při instalaci nebo aktualizaci aplikace Flatpak pomocí rozhraní CLI flatpak se uživateli obvykle zobrazí speciální oprávnění, která má nová aplikace ve svých metadatech, takže se může informovaně rozhodnout, zda povolit její instalaci.

Při obnově a oprávnění aplikace zobrazovat uživateli, grafické rozhraní pokračuje zodpovědnost za filtrování nebo escapování jakýchkoli znaků, které mají zvláštní význam pro vaše knihovny GUI.

Pro část z popisu zranitelnostíSdílejí s námi následující:

  • CVE-2023-28100: schopnost kopírovat a vkládat text do vstupní vyrovnávací paměti virtuální konzoly pomocí manipulace ioctl TIOCLINUX při instalaci balíčku Flatpak vytvořeného útočníkem. Zranitelnost by mohla být například použita ke spouštění libovolných příkazů konzoly po dokončení procesu instalace balíčku třetí strany. Problém se objevuje pouze v klasické virtuální konzoli (/dev/tty1, /dev/tty2 atd.) a neovlivňuje relace v xterm, gnome-terminálu, Konsole a dalších grafických terminálech. Tato chyba zabezpečení není specifická pro flatpak a lze ji použít k útoku na jiné aplikace, například dříve byly nalezeny podobné chyby zabezpečení, které umožňovaly nahrazování znaků prostřednictvím rozhraní TIOCSTI ioctl v /bin/ sandbox a snap.
  • CVE-2023-28101– Možnost používat sekvence escape v seznamu oprávnění v metadatech balíčku ke skrytí informací o požadovaných rozšířených oprávněních, která se zobrazují v terminálu během instalace balíčku nebo upgradu přes rozhraní příkazového řádku. Útočník by mohl tuto chybu zabezpečení využít k oklamání uživatelů ohledně oprávnění používaných v balíčku. Je zmíněno, že GUI pro libflatpak, jako je GNOME Software a KDE Plasma Discover, nejsou tímto přímo ovlivněny.

Nakonec je zmíněno, že jako řešení můžete místo příkazového řádku použít GUI, jako je GNOME Software Center
nebo se také doporučuje instalovat pouze aplikace, jejichž správcům důvěřujete.

Pokud máte zájem dozvědět se o tom více, můžete se podívat na podrobnosti v následujícím odkazu.


Buďte první komentář

Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.