Flatpak-en bi akats konpondu dira konponketa eguneratze berriekin

berriki izan ziren eguneratze zuzentzaileak kaleratu dira tresna-kitarena Flatpak 1.14.4, 1.12.8, 1.10.8 eta 1.15.4 bertsio desberdinetarako, dagoeneko eskuragarri dauden eta bi ahultasun konpontzen dituztenak.

Flatpak ezagutzen ez dutenentzat, jakin beharko zenuke hori ahalbidetzen du aplikazioen garatzaileek beren programen banaketa erraztea Ohiko banaketa-biltegietan sartzen ez direnak, edukiontzi unibertsal bat prestatuz, banaketa bakoitzerako eraikuntza bereiziak sortu gabe.

Segurtasuna duten erabiltzaileentzat, Flatpak zalantzazko aplikazio bat edukiontzi batean exekutatzeko aukera ematen du, sareko funtzioetara eta aplikazioarekin lotutako erabiltzaile-fitxategietara soilik sarbidea ematea. Berritasunean interesa duten erabiltzaileentzat, Flatpak-ek aplikazioen azken proba eta bertsio egonkorrak instalatzeko aukera ematen die sisteman aldaketarik egin beharrik gabe.

Flatpak eta Snap-en arteko gakoa da Snap-ek sistema-ingurunearen osagai nagusiak eta sistema-deien iragazketan oinarritutako isolamendua erabiltzen dituela, eta Flatpak-ek sistemaren edukiontzi bereizia sortzen duen bitartean eta exekuzio-denbora-multzo handiekin funtzionatzen du, paketeen ordez pakete tipikoak emanez mendekotasun gisa.

Flatpak-en atzemandako akatsei buruz

Segurtasun eguneratze berri hauetan, detektatu diren bi akatsei irtenbidea ematen zaie, horietako bat Ryan Gonzalezek (CVE-2023-28101) aurkitu zuen Flatpak aplikazioaren mantentzaile gaiztoek baimen bistaratzea manipulatu edo ezkutatu dezaketela, ANSI terminalen kontrol kodeak edo inprimagarriak ez diren beste karaktere batzuk dituzten baimenak eskatuz.

Hau Flatpak 1.14.4, 1.15.4, 1.12.8 eta 1.10.8-n konpondu zen inprimatzerik gabeko karaktereak (\xXX, \uXXXX, \UXXXXXXXXXX) bistaratuz, terminalaren portaera ez aldatzeko, eta saiatuz ere. inprimagarriak ez diren karaktereak testuinguru jakin batzuetan baliogabeak direla (ez dira onartzen).

Flatpak CLI erabiliz Flatpak aplikazioa instalatzen edo eguneratzean, erabiltzaileari normalean aplikazio berriak bere metadatuetan dituen baimen bereziak erakusten zaizkio, beraz, bere instalazioa baimendu ala ez erabakitzeko modu informatuan har dezan.

Berreskuratzean a aplikazioaren baimenak erabiltzaileari bistaratzeko, interfaze grafikoak jarraitzen du duten karaktereak iragazteaz edo ihes egiteaz arduratzea esanahi berezia dute zure GUI liburutegietarako.

Zati aldetik ahultasunen deskribapenetikHonako hauek partekatzen dituzte gurekin:

• CVE-2023-28100: TIOCLINUX ioctl manipulazioaren bidez kontsola birtualeko sarrerako bufferean testua kopiatzeko eta itsatsi ahal izateko, erasotzaileak landutako Flatpak pakete bat instalatzean. Adibidez, ahultasuna hirugarrenen pakete baten instalazio-prozesua amaitu ondoren kontsolaren komando arbitrarioak abiarazteko erabil liteke. Arazoa kontsola birtual klasikoan bakarrik agertzen da (/dev/tty1, /dev/tty2, etab.) eta ez die eragiten xterm, gnome-terminal, Konsole eta beste terminal grafikoetako saioei. Ahultasuna ez da flatpak-en espezifikoa eta beste aplikazio batzuei erasotzeko erabil daiteke, adibidez, aurrez antzeko ahuleziak aurkitu ziren TIOCSTI ioctl interfazearen bidez /bin/ sandbox eta snap-en karaktereak ordezkatzea ahalbidetzen zutenak.
• CVE-2023-28101– Paketeen metadatuetako baimenen zerrendako ihes-sekuentziak erabiltzeko gaitasuna terminalean bistaratzen diren eskatutako baimen hedatuei buruzko informazioa ezkutatzeko paketeen instalazioan edo komando-lerroko interfazearen bidez berritzea. Erasotzaile batek ahultasun hori erabil lezake erabiltzaileak paketean erabiltzen diren baimenei buruz engainatzeko. Aipatzen da libflatpak-erako GUI-ak, hala nola GNOME Software eta KDE Plasma Discover, ez duela horrek zuzenean eragiten.

Azkenik, konponbide gisa GNOME Software Zentroa bezalako GUI bat erabil dezakezula komando lerroaren ordez.
interfazea edo, gainera, fidagarriak diren mantentzaileak dituzten aplikazioak soilik instalatzea gomendatzen da.

Horri buruz gehiago jakiteko interesa baduzu, kontsulta dezakezu xehetasunak ondoko estekan.