Išnaudojami šie trūkumai gali leisti užpuolikams gauti neteisėtą prieigą prie slaptos informacijos arba apskritai sukelti problemų.
neseniai buvo išleisti korekciniai atnaujinimai įrankių rinkinio Flatpak skirtingoms 1.14.4, 1.12.8, 1.10.8 ir 1.15.4 versijoms, kurios jau yra ir kurios pašalina du pažeidžiamumus.
Tiems, kurie nepažįsta „Flatpak“, turėtumėte žinoti, kad tai leidžia programų kūrėjams supaprastinti savo programų platinimą kurios nėra įtrauktos į įprasto platinimo saugyklas, paruošiant universalų konteinerį, nekuriant atskirų versijų kiekvienam platinimui.
Saugumu besirūpinantiems vartotojams „Flatpak“. leidžia abejotinai programai paleisti konteineryje, suteikiant prieigą tik prie tinklo funkcijų ir vartotojo failų, susijusių su programa. Vartotojams, besidomintiems naujovėmis, „Flatpak“ leidžia įdiegti naujausias bandomąsias ir stabilias programų versijas nekeičiant sistemos.
Pagrindinis skirtumas tarp „Flatpak“ ir „Snap“ yra tas, kad „Snap“ naudoja pagrindinius sistemos aplinkos komponentus ir sistemos skambučių filtravimu pagrįstą izoliaciją, o „Flatpak“ sukuria atskirą sistemos konteinerį ir veikia su dideliais vykdymo laiko rinkiniais, pateikdamas tipinius paketus, o ne paketus kaip priklausomybes.
Apie Flatpak aptiktas klaidas
Šiuose naujuose saugos naujinimuose duodamas dviejų aptiktų klaidų sprendimas, vieną iš jų atrado Ryanas Gonzalezas (CVE-2023-28101) atrado, kad kenkėjiški „Flatpak“ programos prižiūrėtojai gali manipuliuoti arba paslėpti šį leidimų vaizdą, prašydami leidimų, apimančių ANSI terminalo valdymo kodus ar kitus nespausdinamus simbolius.
Tai buvo išspręsta Flatpak 1.14.4, 1.15.4, 1.12.8 ir 1.10.8, pateikiant pabėgusius nespausdinamus simbolius (\xXX, \uXXXX, \UXXXXXXXXXX), kad jie nepakeistų terminalo elgsenos, taip pat bandant nespausdinami simboliai tam tikruose kontekstuose kaip netinkami (neleidžiami).
Diegiant arba atnaujinant „Flatpak“ programą naudojant „flatpak“ CLI, vartotojui paprastai rodomi specialūs leidimai, kuriuos nauja programa turi savo metaduomenyse, todėl jie gali priimti šiek tiek pagrįstą sprendimą, ar leisti ją įdiegti.
Kai atsigauna a programos leidimus rodyti vartotojui, grafinė sąsaja tęsiasi yra atsakingas už bet kokių simbolių filtravimą arba pašalinimą jie turi ypatingą reikšmę jūsų GUI bibliotekoms.
Iš dalies iš pažeidžiamumų aprašymoJie dalijasi su mumis:
- CVE-2023-28100: galimybė kopijuoti ir įklijuoti tekstą į virtualiosios konsolės įvesties buferį naudojant TIOCLINUX ioctl manipuliavimą diegiant užpuoliko sukurtą Flatpak paketą. Pavyzdžiui, pažeidžiamumas gali būti naudojamas savavališkų konsolės komandų paleidimui užbaigus trečiosios šalies paketo diegimo procesą. Problema atsiranda tik klasikinėje virtualioje konsolėje (/dev/tty1, /dev/tty2 ir kt.) ir neturi įtakos seansams xterm, gnome-terminal, Konsole ir kituose grafiniuose terminaluose. Pažeidžiamumas nėra būdingas „flatpak“ ir gali būti naudojamas atakuoti kitas programas, pavyzdžiui, anksčiau buvo rasta panašių pažeidžiamumų, leidžiančių pakeisti simbolius per TIOCSTI ioctl sąsają /bin/ smėlio dėžėje ir snap.
- CVE-2023-28101– Galimybė naudoti pabėgimo sekas leidimų sąraše paketo metaduomenyse, siekiant paslėpti informaciją apie prašomus išplėstinius leidimus, kurie rodomi terminale diegiant paketą arba atnaujinant per komandinės eilutės sąsają. Užpuolikas gali naudoti šį pažeidžiamumą, kad apgaudinėtų vartotojus apie pakete naudojamus leidimus. Paminėta, kad libflatpak GUI, pvz., GNOME Software ir KDE Plasma Discover, tai neturi tiesioginės įtakos.
Galiausiai paminėta, kad kaip išeitis galite naudoti GUI, pvz., GNOME programinės įrangos centrą, o ne komandinę eilutę.
sąsaja arba taip pat rekomenduojama įdiegti tik programas, kurių prižiūrėtojais pasitikite.
Jei norite sužinoti daugiau apie tai, galite pasikonsultuoti su išsami informacija šioje nuorodoje.