Bi nûvekirina rastkirina nû re du xeletiyên li Flatpak rast kirin

vê dawiyê bûn nûvekirinên rastker hatin berdan ji kit tool Flatpak ji bo guhertoyên cihêreng 1.14.4, 1.12.8, 1.10.8 û 1.15.4, ku jixwe berdest in û yên ku du qelsiyan çareser dikin.

Ji bo kesên ku bi Flatpak nizanin, divê hûn zanibin ku ev e dihêle ku pêşdebirên serîlêdanê dabeşkirina bernameyên xwe hêsan bikin ku di nav depoyên belavkirinê yên birêkûpêk de nabin bi amadekirina konteynirek gerdûnî bêyî ku ji bo her dabeşkirinê avahiyên cihêreng çêbikin.

Ji bo bikarhênerên hişmendiya ewlehiyê, Flatpak dihêle ku serîlêdanek gumanbar di konteynerek de bixebite, dayîna gihîştina tenê fonksiyonên torê û pelên bikarhêner ên ku bi serîlêdanê ve girêdayî ne. Ji bo bikarhênerên ku bi tiştên nû re eleqedar dibin, Flatpak dihêle ku ew guhertoyên herî paşîn û domdar ên serîlêdanan saz bikin bêyî ku hewce ne ku guhartinan li pergalê bikin.

Cûdahiya bingehîn di navbera Flatpak û Snap de ev e ku Snap hêmanên hawîrdora pergalê û veqetandinê li ser bingeha fîlterkirina banga pergalê bikar tîne, dema ku Flatpak konteynirek pergalê ya cihêreng diafirîne û bi meclîsên mezin ên dema xebatê re tevdigere, li şûna pakêtan wekî pêwendiyê pakêtên tîpîk peyda dike.

Di derbarê xeletiyên ku li Flatpak hatine dîtin

Di van nûvekirinên ewlehiyê yên nû de, çareserî ji du xeletiyên kifşkirî re tê dayîn, ku yek ji wan ji hêla Ryan Gonzalez (CVE-2023-28101) ve hat keşif kirin, vedît ku parêzvanên xirabkar ên sepana Flatpak dikarin vê dîmena destûrnameyê bi daxwazkirina destûrnameyên ku kodên kontrola termînalê ANSI an karakterên din ên neçapkirî di nav xwe de vedigirin manîpule bikin an veşêrin.

Ev di Flatpak 1.14.4, 1.15.4, 1.12.8 û 1.10.8 de bi nîşandana karakterên neçapkirî yên reviyan (\xXX, \uXXXX, \UXXXXXXXXXX) hate rast kirin da ku ew tevgera termînalê neguhezînin, û her weha bi ceribandinê Karakterên neçapkirî di hin mijaran de nederbasdar in (ne destûr).

Dema ku sepanek Flatpak bi karanîna CLI-ya flatpak saz dike an nûve dike, bi gelemperî destûrên taybetî yên ku sepana nû di metadata xwe de hene têne destnîşan kirin, ji ber vê yekê ew dikarin biryarek hinekî agahdar bidin ka gelo destûr bidin sazkirina wê.

Dema ku başbûn a destûrên serîlêdanê yên ku ji bikarhênerê re nîşan bide, pêwendiya grafîkî berdewam dike berpirsiyariya fîlterkirin an revîna her karakterên ku wan ji pirtûkxaneyên GUI-ya we re wateyek taybetî heye.

Ji bo beşê ji danasîna qelsiyanEw tiştên jêrîn bi me re parve dikin:

• CVE-2023-28100: dema sazkirina pakêtek Flatpak a ku ji hêla êrîşker ve hatî çêkirin de şiyana kopîkirin û lêxistina nivîsê di nav tampona têketina konsolê ya virtual de bi manîpulasyona TIOCLINUX ioctl. Mînakî, lawazbûn dikare were bikar anîn da ku dest pêkirina fermanên konsolê yên kêfî piştî ku pêvajoya sazkirinê ya pakêtek sêyemîn qediya were bikar anîn. Pirsgirêk tenê di konsoleya virtual ya klasîk de xuya dike (/ dev/tty1, / dev/tty2, hwd.) û bandorê li danişînên li xterm, gnome-terminal, Konsole û termînalên din ên grafîkî nake. Zelalbûn ji flatpak-ê re ne taybetî ye û dikare were bikar anîn da ku êrîşî serîlêdanên din bike, mînakî, qelsiyên mîna berê hatine dîtin ku bi navgîniya navbeynkariya TIOCSTI ioctl-ê di nav /bin/ sandbox û snap-ê de destûr didin veguheztina karakterê.
• CVE-2023-28101- Qebûlbûna karanîna rêzikên revê di navnîşa destûran de di metadata pakêtê de da ku agahdariya li ser destûrên dirêjkirî yên daxwazkirî yên ku di dema sazkirina pakêtê de di termînalê de têne xuyang kirin veşêrin an bi navgîniya rêza fermanê ve nûvekirin. Êrîşkarek dikare vê qelsbûnê bikar bîne da ku bikarhêneran li ser destûrên ku li ser pakêtê têne bikar anîn bixapîne. Tê gotin ku GUI-yên ji bo libflatpak, wekî Nermalava GNOME û KDE Plasma Discover, rasterast ji vê yekê bandor nabin.

Di dawiyê de, tê behs kirin ku wekî çareyek hûn dikarin li şûna rêzika fermanê GUI-yek mîna Navenda Nermalava GNOME bikar bînin.
navbeynkar, an jî tê pêşniyar kirin ku hûn tenê serîlêdanên ku hûn pê bawer in saz bikin.

Heke hûn dixwazin li ser wê bêtir zanibin, hûn dikarin bişêwirin hûrguliyên di lînka jêrîn de.