最近だった リリースされた修正アップデート ツールキットの フラットパック 異なるバージョン 1.14.4、1.12.8、1.10.8、および 1.15.4 については、すでに利用可能であり、XNUMX つの脆弱性を解決しています。
Flatpakに慣れていない人は、これを知っておく必要があります アプリケーション開発者がプログラムの配布を簡素化することを可能にします ディストリビューションごとに個別のビルドを作成せずにユニバーサル コンテナを用意することで、通常のディストリビューション リポジトリに含まれていないものを作成します。
セキュリティ意識の高いユーザー向け、Flatpak 疑わしいアプリケーションをコンテナで実行できるようにする アプリケーションに関連付けられたネットワーク機能とユーザー ファイルへのアクセスのみを許可します。 新機能に関心のあるユーザーは、Flatpak を使用すると、システムに変更を加えることなく、アプリケーションの最新のテスト バージョンと安定バージョンをインストールできます。
Flatpak と Snap の主な違いは、Snap がメインのシステム環境コンポーネントとシステム コール フィルタリング ベースの分離を使用するのに対し、Flatpak は別のシステム コンテナーを作成し、大規模なランタイム スイートで動作し、依存関係としてパッケージの代わりに一般的なパッケージを提供することです。
Flatpak で検出されたバグについて
これらの新しいセキュリティ更新プログラムでは、 解は検出された XNUMX つのエラーに与えられますのうちの 2023 つが Ryan Gonzalez によって発見されました (CVE-28101-XNUMX) は、Flatpak アプリケーションの悪意のある管理者が、ANSI 端末制御コードまたはその他の印刷不可能な文字を含む許可を要求することにより、この許可表示を操作または非表示にできることを発見しました。
これは、Flatpak 1.14.4、1.15.4、1.12.8、および 1.10.8 で、エスケープされた非印刷文字 (\xXX、\uXXXX、\UXXXXXXXXXX) を表示して端末の動作を変更しないようにすることで修正されました。特定のコンテキストでの印刷不可能な文字は無効 (許可されていません) です。
flatpak CLI を使用して Flatpak アプリをインストールまたは更新する場合、ユーザーは通常、新しいアプリがそのメタデータに持つ特別なアクセス許可を表示されるため、インストールを許可するかどうかについてある程度の情報に基づいた決定を下すことができます。
回復するとき ユーザーに表示するアプリケーションのアクセス許可、グラフィカル インターフェイスは続行します 文字をフィルタリングまたはエスケープする責任があります。 これらは、GUI ライブラリにとって特別な意味を持ちます。
一部について 脆弱性の説明から彼らは私たちと次のことを共有しています:
- CVE-2023-28100: 攻撃者が作成した Flatpak パッケージをインストールするときに、TIOCLINUX ioctl 操作を介して仮想コンソールの入力バッファーにテキストをコピー アンド ペーストする機能。 たとえば、この脆弱性を悪用して、サードパーティ パッケージのインストール プロセスが完了した後に、任意のコンソール コマンドの起動をステージングする可能性があります。 この問題は従来の仮想コンソール (/dev/tty1、/dev/tty2 など) でのみ発生し、xterm、gnome-terminal、Konsole、およびその他のグラフィカル ターミナルのセッションには影響しません。 この脆弱性は flatpak に固有のものではなく、他のアプリケーションを攻撃するために使用される可能性があります。たとえば、/bin/ サンドボックスとスナップで TIOCSTI ioctl インターフェイスを介して文字置換を許可する同様の脆弱性が以前に発見されました。
- CVE-2023-28101– パッケージ メタデータのアクセス許可リストでエスケープ シーケンスを使用して、コマンド ライン インターフェイスを介したパッケージのインストールまたはアップグレード中にターミナルに表示される、要求された拡張アクセス許可に関する情報を非表示にする機能。 攻撃者はこの脆弱性を利用して、パッケージで使用されているアクセス許可についてユーザーを騙す可能性があります。 GNOME ソフトウェアや KDE Plasma Discover などの libflatpak の GUI は、この影響を直接受けないことが言及されています。
最後に、回避策として、コマンドラインの代わりに GNOME Software Center のような GUI を使用できることが言及されています。
または、信頼できるメンテナーのアプリケーションのみをインストールすることもお勧めします。
あなたがそれについてもっと知りたいなら、あなたは相談することができます 詳細は次のリンクをご覧ください。