새로운 수정 업데이트로 Flatpak의 두 가지 버그 수정

Darkcrizt

4 분

취약점

이러한 결함을 악용할 경우 공격자가 민감한 정보에 무단으로 액세스하거나 일반적으로 문제를 일으킬 수 있습니다.

최근에 수정 업데이트 출시 도구 키트의 플랫 팩 이미 사용 가능하고 두 가지 취약점을 해결하는 다른 버전 1.14.4, 1.12.8, 1.10.8 및 1.15.4에 대해.

Flatpak에 익숙하지 않은 사람들은 이것이 응용 프로그램 개발자가 프로그램 배포를 단순화할 수 있습니다. 각 배포판에 대한 별도의 빌드를 생성하지 않고 범용 컨테이너를 준비하여 정규 배포판 리포지토리에 포함되지 않은

보안에 민감한 사용자를 위해 Flatpak 의심스러운 애플리케이션을 컨테이너에서 실행할 수 있습니다. 응용 프로그램과 관련된 네트워크 기능 및 사용자 파일에만 액세스 권한을 부여합니다. 새로운 기능에 관심이 있는 사용자를 위해 Flatpak을 사용하면 시스템을 변경할 필요 없이 최신 테스트 및 안정적인 버전의 애플리케이션을 설치할 수 있습니다.

Flatpak과 Snap의 주요 차이점은 Snap은 주요 시스템 환경 구성 요소와 시스템 호출 필터링 기반 격리를 사용하는 반면 Flatpak은 별도의 시스템 컨테이너를 만들고 대규모 런타임 제품군과 함께 작동하여 패키지 대신 일반 패키지를 종속성으로 제공한다는 것입니다.

Flatpak에서 발견된 버그 정보

이러한 새로운 보안 업데이트에서 솔루션은 두 개의 감지된 오류에 제공됩니다.그 중 하나는 Ryan Gonzalez(CVE-2023-28101)가 발견한 것으로, Flatpak 애플리케이션의 악의적인 관리자가 ANSI 터미널 제어 코드 또는 기타 인쇄할 수 없는 문자를 포함하는 권한을 요청하여 이 권한 표시를 조작하거나 숨길 수 있음을 발견했습니다.

이 문제는 Flatpak 1.14.4, 1.15.4, 1.12.8 및 1.10.8에서 이스케이프된 인쇄되지 않는 문자(\xXX, \uXXXX, \UXXXXXXXXXX)를 표시하여 터미널 동작을 변경하지 않도록 수정했습니다. 특정 컨텍스트에서 인쇄할 수 없는 문자는 유효하지 않은 것으로 간주됩니다(허용되지 않음).

flatpak CLI를 사용하여 Flatpak 앱을 설치하거나 업데이트할 때 사용자는 일반적으로 메타데이터에 있는 새 앱의 특수 권한을 표시하므로 설치 허용 여부에 대해 다소 정보에 입각한 결정을 내릴 수 있습니다.

복구할 때 사용자에게 표시할 응용 프로그램 권한, 그래픽 인터페이스는 계속됩니다. 모든 문자를 필터링하거나 이스케이프 처리할 책임이 있습니다. GUI 라이브러리에 특별한 의미가 있습니다.

부품 취약점 설명에서그들은 다음을 우리와 공유합니다.

  • CVE-2023-28100 : 공격자가 제작한 Flatpak 패키지를 설치할 때 TIOCLINUX ioctl 조작을 통해 텍스트를 복사하여 가상 콘솔 입력 버퍼에 붙여넣는 기능. 예를 들어, 이 취약성은 타사 패키지의 설치 프로세스가 완료된 후 임의의 콘솔 명령 실행을 준비하는 데 사용될 수 있습니다. 이 문제는 클래식 가상 콘솔(/dev/tty1, /dev/tty2 등)에만 나타나며 xterm, gnome-terminal, Konsole 및 기타 그래픽 터미널의 세션에는 영향을 미치지 않습니다. 이 취약성은 flatpak에만 국한되지 않으며 다른 애플리케이션을 공격하는 데 사용될 수 있습니다. 예를 들어 /bin/ 샌드박스 및 스냅의 TIOCSTI ioctl 인터페이스를 통해 문자 대체를 허용하는 유사한 취약성이 이전에 발견되었습니다.
  • CVE-2023-28101– 명령줄 인터페이스를 통해 패키지를 설치하거나 업그레이드하는 동안 터미널에 표시되는 요청된 확장 권한에 대한 정보를 숨기기 위해 패키지 메타데이터의 권한 목록에서 이스케이프 시퀀스를 사용하는 기능. 공격자는 이 취약점을 사용하여 패키지에 사용된 권한에 대해 사용자를 속일 수 있습니다. GNOME Software 및 KDE Plasma Discover와 같은 libflatpak용 GUI는 이에 직접적으로 영향을 받지 않는다고 언급되어 있습니다.

마지막으로 해결 방법으로 명령줄 대신 그놈 소프트웨어 센터와 같은 GUI를 사용할 수 있다고 언급됩니다.
또는 신뢰할 수 있는 관리자의 응용 프로그램만 설치하는 것이 좋습니다.

그것에 대해 더 알고 싶다면, 당신이 그것에 대해 상담할 수 있습니다 다음 링크에서 세부 사항.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.