नए फिक्स अपडेट के साथ फ्लैटपैक में दो बग फिक्स किए गए

हाल ही में थे सुधारात्मक अद्यतन जारी किए गए टूल किट का Flatpak विभिन्न संस्करणों 1.14.4, 1.12.8, 1.10.8 और 1.15.4 के लिए, जो पहले से ही उपलब्ध हैं और जो दो कमजोरियों को हल करते हैं।

फ्लैटपैक से अपरिचित लोगों के लिए, आपको पता होना चाहिए कि यह एप्लिकेशन डेवलपर्स के लिए अपने कार्यक्रमों के वितरण को सरल बनाना संभव बनाता है जो प्रत्येक वितरण के लिए अलग-अलग बिल्ड बनाए बिना एक सार्वभौमिक कंटेनर तैयार करके नियमित वितरण रिपॉजिटरी में शामिल नहीं हैं।

सुरक्षा के प्रति जागरूक उपयोगकर्ताओं के लिए, Flatpak एक कंटेनर में एक संदिग्ध एप्लिकेशन को चलाने की अनुमति देता है, केवल नेटवर्क फ़ंक्शंस और एप्लिकेशन से जुड़ी उपयोगकर्ता फ़ाइलों तक पहुंच प्रदान करना। उन उपयोगकर्ताओं के लिए जो नए में रुचि रखते हैं, फ्लैटपैक उन्हें सिस्टम में बदलाव किए बिना नवीनतम परीक्षण और अनुप्रयोगों के स्थिर संस्करणों को स्थापित करने की अनुमति देता है।

फ़्लैटपैक और स्नैप के बीच मुख्य अंतर यह है कि स्नैप मुख्य सिस्टम पर्यावरण घटकों और सिस्टम कॉल फ़िल्टरिंग-आधारित अलगाव का उपयोग करता है, जबकि फ़्लैटपैक एक अलग सिस्टम कंटेनर बनाता है और बड़े रनटाइम सूट के साथ संचालित होता है, जो निर्भरता के रूप में पैकेज के बजाय विशिष्ट पैकेज प्रदान करता है।

Flatpak में पाए गए बग के बारे में

इन नए सुरक्षा अद्यतनों में, समाधान दो ज्ञात त्रुटियों के लिए दिया गया है, जिनमें से एक रयान गोंजालेज (CVE-2023-28101) द्वारा खोजा गया था, ने पाया कि Flatpak एप्लिकेशन के दुर्भावनापूर्ण अनुरक्षक एएनएसआई टर्मिनल नियंत्रण कोड या अन्य गैर-मुद्रण योग्य वर्ण शामिल करने वाली अनुमतियों का अनुरोध करके इस अनुमति प्रदर्शन में हेरफेर या छिपा सकते हैं।

यह Flatpak 1.14.4, 1.15.4, 1.12.8 और 1.10.8 में बचने वाले गैर-प्रिंटिंग वर्णों (\xXX, \uXXXX, \UXXXXXXXXXX) को प्रदर्शित करके तय किया गया था ताकि वे टर्मिनल व्यवहार में बदलाव न करें, और कोशिश करके भी कुछ संदर्भों में गैर-मुद्रण योग्य वर्ण अमान्य (अनुमति नहीं) के रूप में।

Flatpak CLI का उपयोग करके Flatpak ऐप को इंस्टॉल या अपडेट करते समय, उपयोगकर्ता को आमतौर पर नए ऐप के मेटाडेटा में विशेष अनुमतियाँ दिखाई जाती हैं, इसलिए वे इसकी स्थापना की अनुमति देने के बारे में कुछ हद तक सूचित निर्णय ले सकते हैं।

ठीक होने पर ए उपयोगकर्ता को प्रदर्शित करने के लिए एप्लिकेशन अनुमतियाँ, ग्राफ़िकल इंटरफ़ेस जारी है किसी भी वर्ण को फ़िल्टर करने या उससे बचने के लिए ज़िम्मेदार होना आपके जीयूआई पुस्तकालयों के लिए उनका विशेष अर्थ है।

भाग के लिए कमजोरियों के वर्णन सेवे हमारे साथ निम्नलिखित साझा करते हैं:

• सीवीई-2023-28100: हमलावर द्वारा तैयार किए गए Flatpak पैकेज को स्थापित करते समय TIOCLINUX ioctl हेरफेर के माध्यम से वर्चुअल कंसोल इनपुट बफ़र में टेक्स्ट को कॉपी और पेस्ट करने की क्षमता। उदाहरण के लिए, तीसरे पक्ष के पैकेज की स्थापना प्रक्रिया पूरी होने के बाद भेद्यता का उपयोग स्वैच्छिक कंसोल कमांड के लॉन्च के चरण के लिए किया जा सकता है। समस्या केवल क्लासिक वर्चुअल कंसोल (/ dev/tty1, /dev/tty2, आदि) में दिखाई देती है और xterm, gnome-terminal, Konsole और अन्य ग्राफ़िकल टर्मिनलों में सत्रों को प्रभावित नहीं करती है। भेद्यता फ्लैटपैक के लिए विशिष्ट नहीं है और इसका उपयोग अन्य अनुप्रयोगों पर हमला करने के लिए किया जा सकता है, उदाहरण के लिए, समान भेद्यताएं पहले पाई गई थीं जो /bin/सैंडबॉक्स और स्नैप में TIOCSTI ioctl इंटरफ़ेस के माध्यम से वर्ण प्रतिस्थापन की अनुमति देती थीं।
• CVE-2023-28101- पैकेज मेटाडेटा में अनुमति सूची में एस्केप सीक्वेंस का उपयोग करने की क्षमता अनुरोधित विस्तारित अनुमतियों के बारे में जानकारी छिपाने के लिए जो पैकेज स्थापना के दौरान टर्मिनल में प्रदर्शित होती हैं या कमांड लाइन इंटरफ़ेस के माध्यम से अपग्रेड होती हैं। एक हमलावर इस भेद्यता का उपयोग उपयोगकर्ताओं को पैकेज पर उपयोग की जाने वाली अनुमतियों के बारे में धोखा देने के लिए कर सकता है। यह उल्लेख किया गया है कि लिबफ्लैटपैक के लिए जीयूआई, जैसे कि गनोम सॉफ्टवेयर और केडीई प्लाज्मा डिस्कवर, इससे सीधे प्रभावित नहीं होते हैं।

अंत में, यह उल्लेख किया गया है कि वर्कअराउंड के रूप में आप कमांड लाइन के बजाय GNOME सॉफ़्टवेयर सेंटर जैसे GUI का उपयोग कर सकते हैं
इंटरफ़ेस, या केवल उन अनुप्रयोगों को स्थापित करने की अनुशंसा की जाती है जिनके अनुरक्षक आप पर भरोसा करते हैं।

यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप परामर्श कर सकते हैं निम्नलिखित लिंक में विवरण।