תוקן שני באגים ב-Flatpak עם עדכוני התיקון החדשים

לאחרונה היו פורסמו עדכונים מתקינים של ערכת הכלים פלאטפק עבור הגרסאות השונות 1.14.4, 1.12.8, 1.10.8 ו-1.15.4, שכבר זמינות ופותרות שתי נקודות תורפה.

למי שלא מכיר את Flatpak, כדאי שתדעו שזהו מאפשר למפתחי אפליקציות לפשט את הפצת התוכניות שלהם שאינם נכללים במאגרי ההפצה הרגילים על ידי הכנת מיכל אוניברסלי מבלי ליצור בנייה נפרדת עבור כל הפצה.

עבור משתמשים מודעים לאבטחה, Flatpak מאפשר לאפליקציה מפוקפקת לפעול במיכל, מתן גישה רק לפונקציות הרשת ולקבצי המשתמש המשויכים לאפליקציה. למשתמשים המעוניינים במה חדש, Flatpak מאפשרת להם להתקין את גרסאות הבדיקה העדכניות ביותר וגרסאות יציבות של אפליקציות ללא צורך לבצע שינויים במערכת.

ההבדל העיקרי בין Flatpak ל-Snap הוא ש-Snap משתמש ברכיבי סביבת המערכת הראשיים ובבידוד מבוסס סינון שיחות מערכת, בעוד Flatpak יוצר קונטיינר מערכת נפרד ופועל עם חבילות זמן ריצה גדולות, ומספק חבילות טיפוסיות במקום חבילות כתלות.

לגבי הבאגים שזוהו ב-Flatpak

בעדכוני אבטחה חדשים אלה, הפתרון ניתן לשתי שגיאות שזוהו, שאחד מהם התגלה על ידי Ryan Gonzalez (CVE-2023-28101) שמתוחזקים זדוניים של יישום Flatpak יכולים לתמרן או להסתיר את תצוגת ההרשאה הזו על ידי בקשת הרשאות הכוללות קודי בקרת מסוף ANSI או תווים אחרים שאינם ניתנים להדפסה.

זה תוקן ב-Flatpak 1.14.4, 1.15.4, 1.12.8 ו-1.10.8 על ידי הצגת תווים בריחה שאינם מודפסים (\xXX, \uXXXX, \UXXXXXXXXXX) כך שהם לא ישנו את התנהגות המסוף, וגם על ידי ניסיון תווים שאינם ניתנים להדפסה בהקשרים מסוימים כבלתי חוקיים (אסור).

בעת התקנה או עדכון של אפליקציית Flatpak באמצעות ה-Flatpak CLI, בדרך כלל מוצגות למשתמש ההרשאות המיוחדות שיש לאפליקציה החדשה במטא-נתונים שלה, כך שיוכל לקבל החלטה מושכלת אם לאפשר את התקנתה.

כאשר מתאוששים א הרשאות אפליקציה להצגה למשתמש, הממשק הגרפי ממשיך להיות אחראי לסינון או בריחה של תווים כלשהם יש להם משמעות מיוחדת לספריות ה-GUI שלך.

מהצד מתיאור נקודות התורפההם חולקים איתנו את הדברים הבאים:

• CVE-2023-28100: היכולת להעתיק ולהדביק טקסט במאגר הקלט של המסוף הווירטואלי באמצעות מניפולציה של TIOCLINUX ioctl בעת התקנת חבילת Flatpak בעלת מבנה תוקף. לדוגמה, ניתן להשתמש בפגיעות כדי לשלב את ההשקה של פקודות מסוף שרירותיות לאחר השלמת תהליך ההתקנה של חבילת צד שלישי. הבעיה מופיעה רק בקונסולה הוירטואלית הקלאסית (/dev/tty1, /dev/tty2 וכו') ואינה משפיעה על הפעלות ב-xterm, gnome-terminal, Konsole ובטרמינלים גרפיים אחרים. הפגיעות אינה ספציפית ל-flatpak וניתן להשתמש בה כדי לתקוף יישומים אחרים, לדוגמה, נמצאו בעבר פגיעויות דומות שאפשרו החלפת תווים דרך ממשק TIOCSTI ioctl בארגז ה-/bin/ sandbox and snap.
• CVE-2023-28101– יכולת להשתמש ברצפי בריחה ברשימת ההרשאות במטא נתונים של החבילה כדי להסתיר מידע על ההרשאות המורחבות המבוקשות המוצגות בטרמינל במהלך התקנת החבילה או השדרוג באמצעות ממשק שורת הפקודה. תוקף יכול להשתמש בפגיעות זו כדי להערים על משתמשים לגבי ההרשאות המשמשות בחבילה. מוזכר שה-GUI עבור libflatpak, כגון תוכנת GNOME ו-KDE Plasma Discover, אינם מושפעים ישירות מכך.

לבסוף, מוזכר שכדרך לעקיפת הבעיה אתה יכול להשתמש ב-GUI כמו מרכז התוכנה GNOME במקום בשורת הפקודה
ממשק, או שמומלץ גם להתקין רק אפליקציות שאתה סומך על התחזוקה שלהן.

אם אתה מעוניין לדעת יותר על זה, אתה יכול להתייעץ עם פרטים בקישור הבא.