Ako se iskoriste, ovi nedostaci mogu omogućiti napadačima neovlašteni pristup osjetljivim informacijama ili općenito uzrokovati probleme
nedavno bili izdana popravna ažuriranja kompleta alata Flatpak za različite verzije 1.14.4, 1.12.8, 1.10.8 i 1.15.4, koje su već dostupne i koje rješavaju dvije ranjivosti.
Za one koji nisu upoznati s Flatpakom, trebali biste znati da je ovo omogućuje razvojnim programerima pojednostavljivanje distribucije svojih programa koji nisu uključeni u redovita distribucijska spremišta pripremom univerzalnog spremnika bez stvaranja zasebnih nadogradnji za svaku distribuciju.
Za korisnike koji brinu o sigurnosti, Flatpak omogućuje pokretanje upitne aplikacije u spremniku, davanje pristupa samo mrežnim funkcijama i korisničkim datotekama povezanim s aplikacijom. Korisnicima koje zanima što je novo, Flatpak omogućuje instaliranje najnovijih testnih i stabilnih verzija aplikacija bez potrebe za promjenama u sustavu.
Ključna razlika između Flatpaka i Snapa je u tome što Snap koristi glavne komponente okruženja sustava i izolaciju temeljenu na filtriranju sistemskih poziva, dok Flatpak stvara zasebni spremnik sustava i radi s velikim paketima za vrijeme izvođenja, pružajući tipične pakete umjesto paketa kao ovisnosti.
O greškama otkrivenim u Flatpaku
U ovim novim sigurnosnim ažuriranjima, rješenje je dano za dvije otkrivene greške, od kojih je jednu otkrio Ryan Gonzalez (CVE-2023-28101) otkrio je da zlonamjerni održavatelji aplikacije Flatpak mogu manipulirati ili sakriti ovaj prikaz dopuštenja tražeći dopuštenja koja uključuju ANSI kontrolne kodove terminala ili druge znakove koji se ne mogu ispisati.
Ovo je popravljeno u Flatpaku 1.14.4, 1.15.4, 1.12.8 i 1.10.8 prikazivanjem izbjegnutih znakova koji se ne ispisuju (\xXX, \uXXXX, \UXXXXXXXXXX) tako da ne mijenjaju ponašanje terminala, kao i pokušajem znakove koji se ne mogu ispisati u određenim kontekstima kao nevažeće (nije dopušteno).
Prilikom instaliranja ili ažuriranja Flatpak aplikacije pomoću flatpak CLI-ja, korisniku se obično prikazuju posebna dopuštenja koja nova aplikacija ima u svojim metapodacima, tako da može donijeti donekle informiranu odluku o tome hoće li dopustiti njezinu instalaciju.
Prilikom oporavka a dopuštenja aplikacije za prikaz korisniku, grafičko sučelje se nastavlja biti odgovoran za filtriranje ili izbjegavanje svih znakova koji oni imaju posebno značenje za vaše GUI biblioteke.
Za dio iz opisa ranjivostiS nama dijele sljedeće:
- CVE-2023-28100: mogućnost kopiranja i lijepljenja teksta u ulazni međuspremnik virtualne konzole putem TIOCLINUX ioctl manipulacije prilikom instaliranja Flatpak paketa koji je napravio napadač. Na primjer, ranjivost bi se mogla koristiti za insceniranje pokretanja proizvoljnih naredbi konzole nakon završetka procesa instalacije paketa treće strane. Problem se pojavljuje samo u klasičnoj virtualnoj konzoli (/dev/tty1, /dev/tty2, itd.) i ne utječe na sesije u xtermu, gnome-terminalu, Konsoleu i drugim grafičkim terminalima. Ranjivost nije specifična za flatpak i može se koristiti za napad na druge aplikacije, na primjer, ranije su pronađene slične ranjivosti koje su dopuštale zamjenu znakova putem TIOCSTI ioctl sučelja u /bin/ sandboxu i snapu.
- CVE-2023-28101– Mogućnost korištenja izlaznih sekvenci na popisu dopuštenja u metapodacima paketa za skrivanje informacija o traženim proširenim dopuštenjima koja se prikazuju na terminalu tijekom instalacije paketa ili nadogradnje putem sučelja naredbenog retka. Napadač bi mogao iskoristiti ovu ranjivost kako bi prevario korisnike o dozvolama koje se koriste na paketu. Spomenuto je da ovo ne utječe izravno na GUI-je za libflatpak, kao što su GNOME softver i KDE Plasma Discover.
Na kraju, spominje se da kao zaobilazno rješenje možete koristiti GUI kao što je GNOME Software Center umjesto naredbenog retka
sučelje, ili se također preporučuje instaliranje samo aplikacija čijim održavateljima vjerujete.
Ako ste zainteresirani za više informacija o tome, možete konzultirati pojedinosti na sljedećem linku.