Hvis de udnyttes, kan disse fejl give angribere mulighed for at få uautoriseret adgang til følsomme oplysninger eller generelt forårsage problemer
for nylig var korrigerende opdateringer udgivet af værktøjssættet Flatpak for de forskellige versioner 1.14.4, 1.12.8, 1.10.8 og 1.15.4, som allerede er tilgængelige, og som løser to sårbarheder.
For dem, der ikke kender Flatpak, skal du vide, at dette gør det muligt for applikationsudviklere at forenkle distributionen af deres programmer som ikke er inkluderet i de almindelige distributionslagre ved at forberede en universel container uden at oprette separate builds for hver distribution.
For sikkerhedsbevidste brugere, Flatpak tillader et tvivlsomt program at køre i en container, kun giver adgang til netværksfunktioner og brugerfiler forbundet med applikationen. For brugere, der er interesseret i, hvad der er nyt, giver Flatpak dem mulighed for at installere de seneste test- og stabile versioner af applikationer uden at skulle foretage ændringer i systemet.
Den vigtigste forskel mellem Flatpak og Snap er, at Snap bruger de vigtigste systemmiljøkomponenter og systemopkaldsfiltreringsbaseret isolering, mens Flatpak opretter en separat systembeholder og opererer med store runtime-suiter, der leverer typiske pakker i stedet for pakker som afhængigheder.
Om fejlene fundet i Flatpak
I disse nye sikkerhedsopdateringer, løsningen gives på to opdagede fejl, hvoraf den ene blev opdaget af Ryan Gonzalez (CVE-2023-28101) opdagede, at ondsindede vedligeholdere af Flatpak-applikationen kunne manipulere eller skjule denne tilladelsesvisning ved at anmode om tilladelser, der inkluderer ANSI-terminalkontrolkoder eller andre ikke-udskrivbare tegn.
Dette blev rettet i Flatpak 1.14.4, 1.15.4, 1.12.8 og 1.10.8 ved at vise escapede ikke-udskrivningstegn (\xXX, \uXXXX, \UXXXXXXXXXX), så de ikke ændrer terminaladfærd, og også ved at prøve ikke-udskrivbare tegn i visse sammenhænge som ugyldige (ikke tilladt).
Når man installerer eller opdaterer en Flatpak-app ved hjælp af flatpak CLI, får brugeren typisk vist de særlige tilladelser, den nye app har i sin metadata, så de kan træffe en lidt informeret beslutning om, hvorvidt den vil tillade installationen.
Når man kommer sig en applikationstilladelser til at vise til brugeren, fortsætter den grafiske grænseflade være ansvarlig for at filtrere eller undslippe tegn, der de har særlig betydning for dine GUI-biblioteker.
For den del fra beskrivelsen af sårbarhederDe deler følgende med os:
- CVE-2023-28100: evnen til at kopiere og indsætte tekst i den virtuelle konsol-inputbuffer via TIOCLINUX ioctl-manipulation, når du installerer en angriber-lavet Flatpak-pakke. For eksempel kan sårbarheden bruges til at iscenesætte lanceringen af vilkårlige konsolkommandoer, efter installationsprocessen af en tredjepartspakke er fuldført. Problemet opstår kun i den klassiske virtuelle konsol (/dev/tty1, /dev/tty2 osv.) og påvirker ikke sessioner i xterm, gnome-terminal, Konsole og andre grafiske terminaler. Sårbarheden er ikke specifik for flatpak og kan bruges til at angribe andre applikationer, for eksempel blev lignende sårbarheder tidligere fundet, der tillod tegnsubstitution via TIOCSTI ioctl-grænsefladen i /bin/ sandbox og snap.
- CVE-2023-28101– Mulighed for at bruge escape-sekvenser i tilladelseslisten i pakkens metadata for at skjule information om de anmodede udvidede tilladelser, der vises i terminalen under pakkeinstallation eller opgradering via kommandolinjegrænsefladen. En angriber kan bruge denne sårbarhed til at narre brugere om de tilladelser, der bruges på pakken. Det nævnes, at GUI'erne for libflatpak, såsom GNOME Software og KDE Plasma Discover, ikke er direkte påvirket af dette.
Endelig nævnes det, at du som en løsning kan bruge en GUI som GNOME Software Center i stedet for kommandolinjen
interface, eller det anbefales også kun at installere programmer, hvis vedligeholdere du stoler på.
Hvis du er interesseret i at vide mere om det, kan du konsultere detaljer i følgende link.