Risolti due bug in Flatpak con i nuovi aggiornamenti di correzione

Darkcrizt

4 minuti

vulnerabilità

Se sfruttati, questi difetti possono consentire agli aggressori di ottenere l'accesso non autorizzato a informazioni riservate o, in generale, causare problemi

recentemente sono stati aggiornamenti correttivi rilasciati della cassetta degli attrezzi Flatpak per le diverse versioni 1.14.4, 1.12.8, 1.10.8 e 1.15.4, che sono già disponibili e che risolvono due vulnerabilità.

Per chi non ha familiarità con Flatpak, dovresti sapere che questo consente agli sviluppatori di applicazioni di semplificare la distribuzione dei loro programmi che non sono inclusi nei normali repository di distribuzione preparando un contenitore universale senza creare build separate per ciascuna distribuzione.

Per gli utenti attenti alla sicurezza, Flatpak consente a un'applicazione discutibile di essere eseguita in un contenitore, dando accesso solo alle funzioni di rete e ai file utente associati all'applicazione. Per gli utenti interessati alle novità, Flatpak consente loro di installare gli ultimi test e versioni stabili delle applicazioni senza dover apportare modifiche al sistema.

Il differenza fondamentale tra Flatpak e Snap è quello Snap utilizza i componenti principali dell'ambiente di sistema e l'isolamento basato sul filtraggio delle chiamate di sistema, mentre Flatpak crea un contenitore di sistema separato e opera con grandi assembly di runtime, fornendo pacchetti tipici invece di pacchetti come dipendenze.

Informazioni sui bug rilevati in Flatpak

In questi nuovi aggiornamenti di sicurezza, la soluzione è data a due errori rilevati, uno dei quali è stato scoperto da Ryan Gonzalez (CVE-2023-28101) ha scoperto che i manutentori malintenzionati dell'applicazione Flatpak potrebbero manipolare o nascondere questa visualizzazione delle autorizzazioni richiedendo autorizzazioni che includono codici di controllo del terminale ANSI o altri caratteri non stampabili.

Questo problema è stato risolto in Flatpak 1.14.4, 1.15.4, 1.12.8 e 1.10.8 visualizzando i caratteri non stampabili con escape (\xXX, \uXXXX, \UXXXXXXXXXX) in modo che non alterino il comportamento del terminale e anche provando caratteri non stampabili in determinati contesti come non validi (non consentiti).

Durante l'installazione o l'aggiornamento di un'app Flatpak utilizzando la CLI flatpak, all'utente vengono in genere mostrate le autorizzazioni speciali che la nuova app ha nei suoi metadati, in modo che possa prendere una decisione in qualche modo informata sull'opportunità o meno di consentirne l'installazione.

Quando si recupera a autorizzazioni dell'applicazione da visualizzare all'utente, l'interfaccia grafica continua essere responsabile del filtraggio o dell'escape di tutti i caratteri che hanno un significato speciale per le tue librerie GUI.

Per la parte dalla descrizione delle vulnerabilitàCondividono con noi quanto segue:

  • CVE-2023-28100: capacità di copiare e incollare il testo nel buffer di input della console virtuale tramite la manipolazione ioctl di TIOCLINUX durante l'installazione di un pacchetto Flatpak creato da un utente malintenzionato. Ad esempio, la vulnerabilità potrebbe essere utilizzata per mettere in scena l'avvio di comandi di console arbitrari dopo il completamento del processo di installazione di un pacchetto di terze parti. Il problema compare solo nelle console virtuali classiche (/dev/tty1, /dev/tty2, ecc.) e non riguarda le sessioni in xterm, gnome-terminal, Konsole e altri terminali grafici. La vulnerabilità non è specifica di flatpak e può essere utilizzata per attaccare altre applicazioni, ad esempio, sono state precedentemente rilevate vulnerabilità simili che consentivano la sostituzione dei caratteri tramite l'interfaccia ioctl TIOCSTI in /bin/ sandbox e snap.
  • CVE-2023-28101– Possibilità di utilizzare sequenze di escape nell'elenco delle autorizzazioni nei metadati del pacchetto per nascondere le informazioni sulle autorizzazioni estese richieste che vengono visualizzate nel terminale durante l'installazione o l'aggiornamento del pacchetto tramite l'interfaccia della riga di comando. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per ingannare gli utenti sulle autorizzazioni utilizzate sul pacchetto. Si dice che le GUI per libflatpak, come GNOME Software e KDE Plasma Discover, non ne siano direttamente interessate.

Infine, si dice che come soluzione alternativa è possibile utilizzare una GUI come GNOME Software Center invece della riga di comando
interfaccia, oppure si consiglia anche di installare solo applicazioni di cui ci si fida dei manutentori.

Se sei interessato a saperne di più, puoi consultare il dettagli nel seguente collegamento.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.