Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
ont été récemment mises à jour correctives publiées de la trousse à outils Flatpak pour les différentes versions 1.14.4, 1.12.8, 1.10.8 et 1.15.4, qui sont déjà disponibles et qui résolvent deux vulnérabilités.
Pour ceux qui ne connaissent pas Flatpak, sachez que ce permet aux développeurs d'applications de simplifier la distribution de leurs programmes qui ne sont pas inclus dans les référentiels de distribution standard en préparant un conteneur universel sans créer de versions distinctes pour chaque distribution.
Pour les utilisateurs soucieux de la sécurité, Flatpak permet à une application douteuse de s'exécuter dans un conteneur, ne donnant accès qu'aux fonctions réseau et aux fichiers utilisateurs associés à l'application. Pour les utilisateurs intéressés par les nouveautés, Flatpak leur permet d'installer les dernières versions de test et stables des applications sans avoir à apporter de modifications au système.
La principale différence entre Flatpak et Snap est que Snap utilise les principaux composants de l'environnement système et l'isolation basée sur le filtrage des appels système, tandis que Flatpak crée un conteneur système séparé et fonctionne avec de grandes suites d'exécution, fournissant des packages typiques au lieu de packages en tant que dépendances.
À propos des bugs détectés dans Flatpak
Dans ces nouvelles mises à jour de sécurité, la solution est donnée à deux erreurs détectées, dont l'un a été découvert par Ryan Gonzalez (CVE-2023-28101) a découvert que des responsables malveillants de l'application Flatpak pouvaient manipuler ou masquer cet affichage d'autorisation en demandant des autorisations qui incluent des codes de contrôle de terminal ANSI ou d'autres caractères non imprimables.
Cela a été corrigé dans Flatpak 1.14.4, 1.15.4, 1.12.8 et 1.10.8 en affichant les caractères échappés non imprimables (\xXX, \uXXXX, \UXXXXXXXXXX) afin qu'ils ne modifient pas le comportement du terminal, et aussi en essayant caractères non imprimables dans certains contextes comme non valides (non autorisés).
Lors de l'installation ou de la mise à jour d'une application Flatpak à l'aide de la CLI flatpak, l'utilisateur voit généralement les autorisations spéciales dont dispose la nouvelle application dans ses métadonnées, afin qu'il puisse prendre une décision quelque peu éclairée sur l'opportunité d'autoriser son installation.
Lors de la récupération d'un autorisations d'application à afficher à l'utilisateur, l'interface graphique continue étant responsable du filtrage ou de l'échappement des caractères qui ils ont une signification particulière pour vos bibliothèques GUI.
Pour la partie de la description des vulnérabilitésIls partagent avec nous :
- CVE-2023-28100 : possibilité de copier et coller du texte dans le tampon d'entrée de la console virtuelle via la manipulation ioctl de TIOCLINUX lors de l'installation d'un package Flatpak conçu par un attaquant. Par exemple, la vulnérabilité pourrait être utilisée pour organiser le lancement de commandes de console arbitraires une fois le processus d'installation d'un package tiers terminé. Le problème n'apparaît que dans la console virtuelle classique (/dev/tty1, /dev/tty2, etc.) et n'affecte pas les sessions dans xterm, gnome-terminal, Konsole et autres terminaux graphiques. La vulnérabilité n'est pas spécifique à flatpak et peut être utilisée pour attaquer d'autres applications, par exemple, des vulnérabilités similaires ont été précédemment trouvées qui permettaient la substitution de caractères via l'interface TIOCSTI ioctl dans /bin/ sandbox et snap.
- CVE-2023-28101- Possibilité d'utiliser des séquences d'échappement dans la liste des autorisations dans les métadonnées du package pour masquer les informations sur les autorisations étendues demandées qui sont affichées dans le terminal lors de l'installation ou de la mise à niveau du package via l'interface de ligne de commande. Un attaquant pourrait utiliser cette vulnérabilité pour tromper les utilisateurs sur les autorisations utilisées sur le package. Il est mentionné que les interfaces graphiques pour libflatpak, telles que GNOME Software et KDE Plasma Discover, ne sont pas directement affectées par cela.
Enfin, il est mentionné que comme solution de contournement, vous pouvez utiliser une interface graphique comme le centre logiciel GNOME au lieu de la ligne de commande
interface, ou il est également recommandé de n'installer que des applications dont vous faites confiance aux mainteneurs.
Si vous souhaitez en savoir plus, vous pouvez consulter le détails dans le lien suivant.