Kui neid vigu ära kasutatakse, võivad ründajad pääseda volitamata juurde tundlikule teabele või põhjustada üldiselt probleeme
hiljuti olid välja antud korrigeerivad värskendused tööriistakomplektist Flatpak erinevatele versioonidele 1.14.4, 1.12.8, 1.10.8 ja 1.15.4, mis on juba saadaval ja mis lahendavad kaks haavatavust.
Neile, kes pole Flatpakiga tuttavad, peaksite teadma, et see võimaldab rakenduste arendajatel oma programmide levitamist lihtsustada mis ei sisaldu tavalistes levitamise hoidlates, valmistades ette universaalse konteineri ilma iga distributsiooni jaoks eraldi järge looma.
Turvateadlikele kasutajatele Flatpak lubab küsitava rakenduse konteineris töötada, annab juurdepääsu ainult rakendusega seotud võrgufunktsioonidele ja kasutajafailidele. Kasutajatele, kes on uuest huvitatud, võimaldab Flatpak installida rakenduste uusimad test- ja stabiilsed versioonid ilma süsteemis muudatusi tegemata.
Peamine erinevus Flatpaki ja Snapi vahel seisneb selles, et Snap kasutab peamisi süsteemikeskkonna komponente ja süsteemikõnede filtreerimisel põhinevat isoleerimist, samas kui Flatpak loob eraldi süsteemikonteineri ja töötab suurte käitusaegsete komplektidega, pakkudes sõltuvustena pakettide asemel tüüpilisi pakette.
Teave Flatpakis tuvastatud vigade kohta
Nendes uutes turvavärskendustes lahendus antakse kahele tuvastatud veale, millest ühe avastas Ryan Gonzalez (CVE-2023-28101) avastas, et Flatpaki rakenduse pahatahtlikud hooldajad võivad seda lubade kuva manipuleerida või peita, taotledes lube, mis sisaldavad ANSI terminali juhtkoode või muid mitteprinditavaid märke.
See parandati versioonides Flatpak 1.14.4, 1.15.4, 1.12.8 ja 1.10.8, kuvades välditavad mitteprinditavad märgid (\xXX, \uXXXX, \UXXXXXXXXXX), et need ei muuda terminali käitumist, ja ka proovides teatud kontekstis mitteprinditavad märgid on kehtetud (pole lubatud).
Flatpaki rakenduse installimisel või värskendamisel, kasutades flatpaki CLI-d, kuvatakse kasutajale tavaliselt metaandmetes uue rakenduse eriload, et nad saaksid teha mõneti teadliku otsuse selle installimise lubamise kohta.
Kui taastub a rakenduse õigused kasutajale kuvamiseks, graafiline liides jätkub vastutades selliste märkide filtreerimise või põgenemise eest neil on teie GUI teekide jaoks eriline tähendus.
Omalt poolt haavatavuste kirjeldusestNad jagavad meiega järgmist:
- CVE-2023-28100: võimalus kopeerida ja kleepida teksti virtuaalkonsooli sisendpuhvrisse TIOCLINUX ioctl manipuleerimise kaudu, kui installite ründaja loodud Flatpaki paketi. Näiteks võib haavatavust kasutada suvaliste konsoolikäskude käivitamiseks pärast seda, kui kolmanda osapoole paketi installiprotsess on lõppenud. Probleem ilmneb ainult klassikalises virtuaalses konsoolis (/dev/tty1, /dev/tty2 jne) ega mõjuta seansse xterm, gnome-terminal, Konsole ja muudes graafilistes terminalides. Haavatavus ei ole spetsiifiline flatpakile ja seda saab kasutada teiste rakenduste ründamiseks, näiteks leiti varem sarnaseid turvaauke, mis võimaldasid tähemärke asendada TIOCSTI ioctl liidese kaudu liivakastis /bin/ ja snap.
- CVE-2023-28101– Võimalus kasutada paketi metaandmete õiguste loendis paojärjestusi, et varjata teavet nõutud laiendatud õiguste kohta, mis kuvatakse terminalis paketi installimise või käsurealiidese kaudu uuendamise ajal. Ründaja võib seda haavatavust kasutada, et petta kasutajatele paketis kasutatavaid õigusi. Mainitakse, et libflatpaki GUI-sid, nagu GNOME Software ja KDE Plasma Discover, see otseselt ei mõjuta.
Lõpuks mainitakse, et lahendusena saate käsurea asemel kasutada GUI-d nagu GNOME tarkvarakeskus
liidesega või on samuti soovitatav installida ainult rakendusi, mille hooldajaid usaldate.
Kui teil on huvi selle kohta rohkem teada saada, võite konsulteerida üksikasjad järgmisel lingil.