Ja šīs nepilnības tiek izmantotas, uzbrucēji var iegūt nesankcionētu piekļuvi sensitīvai informācijai vai vispār radīt problēmas.
nesen bija izlaisti koriģējošie atjauninājumi no instrumentu komplekta Flatpak dažādām versijām 1.14.4, 1.12.8, 1.10.8 un 1.15.4, kas jau ir pieejamas un kuras atrisina divas ievainojamības.
Tiem, kas nepazīst Flatpak, jums jāzina, ka tas ļauj lietojumprogrammu izstrādātājiem vienkāršot savu programmu izplatīšanu kas nav iekļauti regulārā izplatīšanas krātuvēs, sagatavojot universālu konteineru, neveidojot atsevišķas versijas katram izplatīšanai.
Lietotājiem, kas apzinās drošību, Flatpak ļauj apšaubāmai lietojumprogrammai darboties konteinerā, nodrošina piekļuvi tikai tīkla funkcijām un lietotāja failiem, kas saistīti ar lietojumprogrammu. Lietotājiem, kurus interesē jaunums, Flatpak ļauj instalēt jaunākās testa un stabilās lietojumprogrammu versijas, neveicot izmaiņas sistēmā.
Galvenā atšķirība starp Flatpak un Snap ir tā, ka Snap izmanto galvenos sistēmas vides komponentus un uz sistēmas zvanu filtrēšanu balstītu izolāciju, savukārt Flatpak izveido atsevišķu sistēmas konteineru un darbojas ar lieliem izpildlaika komplektiem, nodrošinot tipiskas pakotnes, nevis pakotnes kā atkarības.
Par Flatpak atklātajām kļūdām
Šajos jaunajos drošības atjauninājumos risinājums tiek dots divām atklātajām kļūdām, no kuriem vienu atklāja Raiens Gonsaless (CVE-2023-28101) atklāja, ka lietojumprogrammas Flatpak ļaunprātīgi uzturētāji var manipulēt ar šo atļauju displeju vai to paslēpt, pieprasot atļaujas, kas ietver ANSI termināļa vadības kodus vai citas nedrukājamas rakstzīmes.
Tas tika labots versijās Flatpak 1.14.4, 1.15.4, 1.12.8 un 1.10.8, parādot atslēgtās nedrukāšanas rakstzīmes (\xXX, \uXXXX, \UXXXXXXXXXX), lai tās nemainītu termināļa darbību, kā arī mēģinot nedrukājamas rakstzīmes noteiktos kontekstos kā nederīgas (nav atļautas).
Instalējot vai atjauninot lietotni Flatpak, izmantojot flatpak CLI, lietotājam parasti tiek parādītas īpašās atļaujas, kas jaunajai lietotnei ir tās metadatos, lai viņi varētu pieņemt zināmā mērā apzinātu lēmumu par to, vai atļaut tās instalēšanu.
Atgūstot a lietojumprogrammas atļaujas parādīt lietotājam, grafiskais interfeiss turpinās ir atbildīgs par to rakstzīmju filtrēšanu vai izslēgšanu tiem ir īpaša nozīme jūsu GUI bibliotēkās.
Par daļu no ievainojamību aprakstaViņi kopīgo ar mums tālāk norādīto.
- CVE-2023-28100: iespēja kopēt un ielīmēt tekstu virtuālās konsoles ievades buferī, izmantojot TIOCLINUX ioctl manipulācijas, instalējot uzbrucēja izstrādātu Flatpak pakotni. Piemēram, ievainojamību var izmantot, lai pakāpeniski palaistu patvaļīgas konsoles komandas pēc trešās puses pakotnes instalēšanas procesa pabeigšanas. Problēma parādās tikai klasiskajā virtuālajā konsolē (/dev/tty1, /dev/tty2 utt.) un neietekmē sesijas xterm, gnome-terminal, Konsole un citos grafiskajos termināļos. Ievainojamība nav raksturīga flatpak, un to var izmantot, lai uzbruktu citām lietojumprogrammām, piemēram, iepriekš tika atrastas līdzīgas ievainojamības, kas ļāva aizstāt rakstzīmes, izmantojot TIOCSTI ioctl saskarni /bin/ sandbox un snap.
- CVE-2023-28101– Iespēja izmantot atsoļu secības atļauju sarakstā pakotnes metadatos, lai paslēptu informāciju par pieprasītajām paplašinātajām atļaujām, kas tiek parādītas terminālī pakotnes instalēšanas vai jaunināšanas laikā, izmantojot komandrindas saskarni. Uzbrucējs var izmantot šo ievainojamību, lai apmānītu lietotājus par pakotnē izmantotajām atļaujām. Tiek minēts, ka tas tieši neietekmē libflatpak GUI, piemēram, GNOME Software un KDE Plasma Discover.
Visbeidzot, tiek minēts, ka kā risinājumu varat izmantot GUI, piemēram, GNOME programmatūras centru, nevis komandrindu.
interfeisu, vai arī ieteicams instalēt tikai tās programmas, kuru uzturētājiem uzticaties.
Ja vēlaties uzzināt vairāk par to, varat konsultēties ar sīkāka informācija šajā saitē.