Jos näitä puutteita hyödynnetään, hyökkääjät voivat päästä luvattomasti arkaluontoisiin tietoihin tai aiheuttaa yleensä ongelmia
äskettäin olivat korjaavat päivitykset julkaistu työkalusarjasta Flatpak eri versioille 1.14.4, 1.12.8, 1.10.8 ja 1.15.4, jotka ovat jo saatavilla ja jotka ratkaisevat kaksi haavoittuvuutta.
Niille, jotka eivät tunne Flatpakia, sinun pitäisi tietää, että tämä mahdollistaa sovellusten kehittäjien yksinkertaistaa ohjelmiensa jakelua jotka eivät sisälly tavalliseen jakeluvarastoon, valmistelemalla yleissäiliön luomatta erillisiä koontiversioita jokaiselle jakelulle.
Turvatietoisille käyttäjille Flatpak sallii kyseenalaisen sovelluksen ajamisen säilössä, antaa pääsyn vain verkkotoimintoihin ja sovellukseen liittyviin käyttäjätiedostoihin. Käyttäjille, jotka ovat kiinnostuneita uudesta, Flatpak antaa heille mahdollisuuden asentaa uusimmat testi- ja vakaat versiot sovelluksista ilman, että heidän tarvitsee tehdä muutoksia järjestelmään.
Keskeinen ero Flatpakin ja Snapin välillä on, että Snap käyttää pääjärjestelmäympäristön komponentteja ja järjestelmäkutsujen suodatukseen perustuvaa eristystä, kun taas Flatpak luo erillisen järjestelmäsäiliön ja toimii suurten ajonaikaisten pakettien kanssa tarjoten tyypillisiä paketteja pakettien sijaan riippuvuuksina.
Tietoja Flatpakissa havaituista vioista
Näissä uusissa tietoturvapäivityksissä ratkaisu annetaan kahteen havaittuun virheeseen, joista yhden löysi Ryan Gonzalez (CVE-2023-28101), ja havaitsi, että Flatpak-sovelluksen haitalliset ylläpitäjät voivat manipuloida tai piilottaa tätä lupanäyttöä pyytämällä lupia, jotka sisältävät ANSI-päätteen ohjauskoodeja tai muita ei-tulostettavia merkkejä.
Tämä korjattiin Flatpak 1.14.4:ssä, 1.15.4:ssä, 1.12.8:ssa ja 1.10.8:ssa näyttämällä poistetut ei-tulostuvat merkit (\xXX, \uXXXX, \UXXXXXXXXXX), jotta ne eivät muuta päätteen toimintaa, ja myös yrittämällä ei-tulostettavat merkit tietyissä yhteyksissä virheellisinä (ei sallittuja).
Kun Flatpak-sovellus asennetaan tai päivitetään Flatpak CLI:n avulla, käyttäjälle näytetään tavallisesti uuden sovelluksen erityisoikeudet sen metatiedoissa, jotta hän voi tehdä jonkin verran tietoon perustuvan päätöksen sen asennuksen sallimisesta.
Toipuessaan a sovellusoikeudet näyttää käyttäjälle, graafinen käyttöliittymä jatkuu on vastuussa sellaisten merkkien suodattamisesta tai poistamisesta niillä on erityinen merkitys GUI-kirjastoissasi.
Osalta haavoittuvuuksien kuvauksestaHe jakavat kanssamme seuraavan:
- CVE-2023-28100: kyky kopioida ja liittää tekstiä virtuaalikonsolin syöttöpuskuriin TIOCLINUX ioctl -käsittelyn avulla, kun asennetaan hyökkääjän luoma Flatpak-paketti. Haavoittuvuutta voidaan käyttää esimerkiksi mielivaltaisten konsolikomentojen käynnistämiseen sen jälkeen, kun kolmannen osapuolen paketin asennusprosessi on valmis. Ongelma ilmenee vain klassisessa virtuaalikonsolissa (/dev/tty1, /dev/tty2 jne.), eikä se vaikuta istuntoihin xtermissä, gnome-terminalissa, Konsolessa ja muissa graafisissa päätteissä. Haavoittuvuus ei ole ominaista flatpakille, ja sitä voidaan käyttää hyökkäämään muihin sovelluksiin, esimerkiksi aiemmin löydettiin samanlaisia haavoittuvuuksia, jotka mahdollistivat merkkien korvaamisen TIOCSTI ioctl -rajapinnan kautta /bin/ sandboxissa ja snapissa.
- CVE-2023-28101– Mahdollisuus käyttää pakotussarjoja paketin metatietojen käyttöoikeusluettelossa piilottaaksesi tiedot pyydetyistä laajennetuista käyttöoikeuksista, jotka näkyvät päätteessä paketin asennuksen tai päivityksen aikana komentoriviliittymän kautta. Hyökkääjä voi käyttää tätä haavoittuvuutta huijatakseen käyttäjiä paketissa käytetyistä käyttöoikeuksista. Mainitaan, että tämä ei vaikuta suoraan libflatpakin graafisiin käyttöliittymiin, kuten GNOME Software ja KDE Plasma Discover.
Lopuksi mainitaan, että kiertotapana voit käyttää GNOME-ohjelmistokeskuksen kaltaista graafista käyttöliittymää komentorivin sijaan.
käyttöliittymä, tai on myös suositeltavaa asentaa vain sovelluksia, joiden ylläpitäjiin luotat.
Jos olet kiinnostunut tietämään asiasta lisää, voit ottaa yhteyttä yksityiskohdat seuraavassa linkissä.