ಹೊಸ ಫಿಕ್ಸ್ ಅಪ್‌ಡೇಟ್‌ಗಳೊಂದಿಗೆ ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್‌ನಲ್ಲಿ ಎರಡು ದೋಷಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

ದುರ್ಬಲತೆ

ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡರೆ, ಈ ನ್ಯೂನತೆಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಗೆ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅಥವಾ ಸಾಮಾನ್ಯವಾಗಿ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು

ಇತ್ತೀಚೆಗೆ ಇದ್ದರು ಸರಿಪಡಿಸುವ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ ಟೂಲ್ ಕಿಟ್ ನ ಫ್ಲಾಟ್ಪ್ಯಾಕ್ ವಿಭಿನ್ನ ಆವೃತ್ತಿಗಳಿಗೆ 1.14.4, 1.12.8, 1.10.8 ಮತ್ತು 1.15.4, ಇದು ಈಗಾಗಲೇ ಲಭ್ಯವಿದೆ ಮತ್ತು ಇದು ಎರಡು ದೋಷಗಳನ್ನು ಪರಿಹರಿಸುತ್ತದೆ.

ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಪರಿಚಯವಿಲ್ಲದವರಿಗೆ, ಇದು ನಿಮಗೆ ತಿಳಿದಿರಬೇಕು ಅಪ್ಲಿಕೇಶನ್ ಡೆವಲಪರ್‌ಗಳು ತಮ್ಮ ಕಾರ್ಯಕ್ರಮಗಳ ವಿತರಣೆಯನ್ನು ಸರಳೀಕರಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಪ್ರತಿ ವಿತರಣೆಗೆ ಪ್ರತ್ಯೇಕ ನಿರ್ಮಾಣಗಳನ್ನು ರಚಿಸದೆ ಸಾರ್ವತ್ರಿಕ ಧಾರಕವನ್ನು ಸಿದ್ಧಪಡಿಸುವ ಮೂಲಕ ನಿಯಮಿತ ವಿತರಣಾ ಭಂಡಾರಗಳಲ್ಲಿ ಸೇರಿಸಲಾಗಿಲ್ಲ.

ಭದ್ರತಾ ಪ್ರಜ್ಞೆಯ ಬಳಕೆದಾರರಿಗೆ, Flatpak ಕಂಟೇನರ್‌ನಲ್ಲಿ ಪ್ರಶ್ನಾರ್ಹ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಅಪ್ಲಿಕೇಶನ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ನೆಟ್‌ವರ್ಕ್ ಕಾರ್ಯಗಳು ಮತ್ತು ಬಳಕೆದಾರರ ಫೈಲ್‌ಗಳಿಗೆ ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ನೀಡುತ್ತದೆ. ಹೊಸದೇನಿದೆ ಎಂಬುದರ ಕುರಿತು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಬಳಕೆದಾರರಿಗೆ, ಸಿಸ್ಟಮ್‌ಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡದೆಯೇ ಇತ್ತೀಚಿನ ಪರೀಕ್ಷೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಸ್ಥಿರ ಆವೃತ್ತಿಗಳನ್ನು ಸ್ಥಾಪಿಸಲು Flatpak ಅವರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಮತ್ತು ಸ್ನ್ಯಾಪ್ ನಡುವಿನ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಸ್ನ್ಯಾಪ್ ಮುಖ್ಯ ಸಿಸ್ಟಮ್ ಪರಿಸರ ಘಟಕಗಳು ಮತ್ತು ಸಿಸ್ಟಮ್ ಕರೆ ಫಿಲ್ಟರಿಂಗ್ ಆಧಾರಿತ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಬಳಸುತ್ತದೆ, ಆದರೆ ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಪ್ರತ್ಯೇಕ ಸಿಸ್ಟಮ್ ಕಂಟೇನರ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ದೊಡ್ಡ ರನ್‌ಟೈಮ್ ಸೂಟ್‌ಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಪ್ಯಾಕೇಜುಗಳ ಬದಲಿಗೆ ವಿಶಿಷ್ಟ ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಅವಲಂಬನೆಗಳಾಗಿ ಒದಗಿಸುತ್ತದೆ.

Flatpak ನಲ್ಲಿ ಪತ್ತೆಯಾದ ದೋಷಗಳ ಬಗ್ಗೆ

ಈ ಹೊಸ ಭದ್ರತಾ ನವೀಕರಣಗಳಲ್ಲಿ, ಪತ್ತೆಯಾದ ಎರಡು ದೋಷಗಳಿಗೆ ಪರಿಹಾರವನ್ನು ನೀಡಲಾಗುತ್ತದೆ, ರಯಾನ್ ಗೊನ್ಜಾಲೆಜ್ (CVE-2023-28101) ಅವರು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಅಪ್ಲಿಕೇಶನ್‌ನ ದುರುದ್ದೇಶಪೂರಿತ ನಿರ್ವಾಹಕರು ANSI ಟರ್ಮಿನಲ್ ನಿಯಂತ್ರಣ ಕೋಡ್‌ಗಳು ಅಥವಾ ಇತರ ಮುದ್ರಿಸಲಾಗದ ಅಕ್ಷರಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಅನುಮತಿಗಳನ್ನು ವಿನಂತಿಸುವ ಮೂಲಕ ಈ ಅನುಮತಿ ಪ್ರದರ್ಶನವನ್ನು ಕುಶಲತೆಯಿಂದ ಅಥವಾ ಮರೆಮಾಡಬಹುದು ಎಂದು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ.

ಇದನ್ನು Flatpak 1.14.4, 1.15.4, 1.12.8 ಮತ್ತು 1.10.8 ರಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ ಪ್ರಿಂಟಿಂಗ್ ಅಲ್ಲದ ಅಕ್ಷರಗಳನ್ನು (\xXX, \uXXXX, \UXXXXXXXXXX) ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಅವರು ಟರ್ಮಿನಲ್ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸುವುದಿಲ್ಲ ಮತ್ತು ಪ್ರಯತ್ನಿಸುವ ಮೂಲಕ ಅಮಾನ್ಯವಾಗಿರುವ ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ ಮುದ್ರಿಸಲಾಗದ ಅಕ್ಷರಗಳು (ಅನುಮತಿಯಿಲ್ಲ).

ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಸಿಎಲ್‌ಐ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಅಥವಾ ನವೀಕರಿಸುವಾಗ, ಬಳಕೆದಾರರಿಗೆ ವಿಶಿಷ್ಟವಾಗಿ ಅದರ ಮೆಟಾಡೇಟಾದಲ್ಲಿ ಹೊಸ ಅಪ್ಲಿಕೇಶನ್ ಹೊಂದಿರುವ ವಿಶೇಷ ಅನುಮತಿಗಳನ್ನು ತೋರಿಸಲಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಅವರು ಅದರ ಸ್ಥಾಪನೆಯನ್ನು ಅನುಮತಿಸಬೇಕೆ ಎಂಬುದರ ಕುರಿತು ಸ್ವಲ್ಪ ತಿಳುವಳಿಕೆಯುಳ್ಳ ನಿರ್ಧಾರವನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು.

ಚೇತರಿಸಿಕೊಳ್ಳುವಾಗ ಎ ಬಳಕೆದಾರರಿಗೆ ಪ್ರದರ್ಶಿಸಲು ಅಪ್ಲಿಕೇಶನ್ ಅನುಮತಿಗಳು, ಚಿತ್ರಾತ್ಮಕ ಇಂಟರ್ಫೇಸ್ ಮುಂದುವರಿಯುತ್ತದೆ ಯಾವುದೇ ಅಕ್ಷರಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಅಥವಾ ತಪ್ಪಿಸಿಕೊಳ್ಳಲು ಜವಾಬ್ದಾರರಾಗಿರುತ್ತಾರೆ ಅವು ನಿಮ್ಮ GUI ಲೈಬ್ರರಿಗಳಿಗೆ ವಿಶೇಷ ಅರ್ಥವನ್ನು ಹೊಂದಿವೆ.

ಭಾಗಕ್ಕೆ ದುರ್ಬಲತೆಗಳ ವಿವರಣೆಯಿಂದಅವರು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನಮ್ಮೊಂದಿಗೆ ಹಂಚಿಕೊಳ್ಳುತ್ತಾರೆ:

  • ಸಿವಿಇ -2023-28100: ಆಕ್ರಮಣಕಾರರಿಂದ ರಚಿಸಲಾದ ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ TIOCLINUX ioctl ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ ಮೂಲಕ ವರ್ಚುವಲ್ ಕನ್ಸೋಲ್ ಇನ್‌ಪುಟ್ ಬಫರ್‌ಗೆ ಪಠ್ಯವನ್ನು ನಕಲಿಸುವ ಮತ್ತು ಅಂಟಿಸುವ ಸಾಮರ್ಥ್ಯ. ಉದಾಹರಣೆಗೆ, ಥರ್ಡ್-ಪಾರ್ಟಿ ಪ್ಯಾಕೇಜ್‌ನ ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆಯು ಪೂರ್ಣಗೊಂಡ ನಂತರ ಅನಿಯಂತ್ರಿತ ಕನ್ಸೋಲ್ ಆಜ್ಞೆಗಳ ಉಡಾವಣೆ ಹಂತಕ್ಕೆ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಬಹುದು. ಸಮಸ್ಯೆಯು ಕ್ಲಾಸಿಕ್ ವರ್ಚುವಲ್ ಕನ್ಸೋಲ್‌ನಲ್ಲಿ ಮಾತ್ರ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ (/dev/tty1, /dev/tty2, ಇತ್ಯಾದಿ.) ಮತ್ತು xterm, gnome-terminal, Konsole ಮತ್ತು ಇತರ ಚಿತ್ರಾತ್ಮಕ ಟರ್ಮಿನಲ್‌ಗಳಲ್ಲಿನ ಸೆಷನ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ದುರ್ಬಲತೆಯು ಫ್ಲಾಟ್‌ಪ್ಯಾಕ್‌ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ ಮತ್ತು ಇತರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಬಳಸಬಹುದು, ಉದಾಹರಣೆಗೆ, /bin/ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಮತ್ತು ಸ್ನ್ಯಾಪ್‌ನಲ್ಲಿ TIOCSTI ioctl ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಅಕ್ಷರದ ಪರ್ಯಾಯವನ್ನು ಅನುಮತಿಸುವ ರೀತಿಯ ದುರ್ಬಲತೆಗಳು ಹಿಂದೆ ಕಂಡುಬಂದಿವೆ.
  • CVE-2023-28101- ಪ್ಯಾಕೇಜ್ ಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಟರ್ಮಿನಲ್‌ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾದ ವಿನಂತಿಸಿದ ವಿಸ್ತೃತ ಅನುಮತಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಮರೆಮಾಡಲು ಅಥವಾ ಆಜ್ಞಾ ಸಾಲಿನ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡಲು ಪ್ಯಾಕೇಜ್ ಮೆಟಾಡೇಟಾದಲ್ಲಿನ ಅನುಮತಿಗಳ ಪಟ್ಟಿಯಲ್ಲಿ ಎಸ್ಕೇಪ್ ಸೀಕ್ವೆನ್ಸ್‌ಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯ. ಪ್ಯಾಕೇಜ್‌ನಲ್ಲಿ ಬಳಸಲಾದ ಅನುಮತಿಗಳ ಕುರಿತು ಬಳಕೆದಾರರನ್ನು ಮೋಸಗೊಳಿಸಲು ಆಕ್ರಮಣಕಾರರು ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಬಹುದು. ಗ್ನೋಮ್ ಸಾಫ್ಟ್‌ವೇರ್ ಮತ್ತು ಕೆಡಿಇ ಪ್ಲಾಸ್ಮಾ ಡಿಸ್ಕವರ್‌ನಂತಹ libflatpak ಗಾಗಿ GUI ಗಳು ಇದರಿಂದ ನೇರವಾಗಿ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ.

ಅಂತಿಮವಾಗಿ, ನೀವು ಆಜ್ಞಾ ಸಾಲಿನ ಬದಲಿಗೆ GNOME ಸಾಫ್ಟ್‌ವೇರ್ ಸೆಂಟರ್‌ನಂತಹ GUI ಅನ್ನು ಪರಿಹಾರವಾಗಿ ಬಳಸಬಹುದು ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ
ಇಂಟರ್ಫೇಸ್, ಅಥವಾ ನೀವು ನಂಬುವ ನಿರ್ವಾಹಕರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಮಾತ್ರ ಸ್ಥಾಪಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.

ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್ನಲ್ಲಿ ವಿವರಗಳು.


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.