Поправени две грешки во Flatpak со новите ажурирања за поправки

Даркризт | | вести

Нема коментари

Ранливост

Доколку се искористат, овие недостатоци може да им овозможат на напаѓачите да добијат неовластен пристап до чувствителни информации или генерално да предизвикаат проблеми

неодамна беа објавени корективни ажурирања на комплетот со алатки Flatpak за различните верзии 1.14.4, 1.12.8, 1.10.8 и 1.15.4, кои се веќе достапни и кои решаваат две пропусти.

За оние кои не се запознаени со Flatpak, треба да знаете дека ова е им овозможува на развивачите на апликации да ја поедностават распределбата на нивните програми кои не се вклучени во редовните складишта за дистрибуција со подготовка на универзален контејнер без создавање на посебни градби за секоја дистрибуција.

За корисници кои се свесни за безбедноста, Flatpak дозволува сомнителна апликација да работи во контејнер, давајќи пристап само до мрежните функции и корисничките датотеки поврзани со апликацијата. За корисниците кои се заинтересирани за новото, Flatpak им овозможува да ги инсталираат најновите тест и стабилни верзии на апликации без да мора да прават промени во системот.

Клучната разлика помеѓу Flatpak и Snap е во тоа што Snap ги користи главните компоненти на системската околина и изолација базирана на филтрирање на системски повици, додека Flatpak создава посебен системски контејнер и работи со големи пакети за траење, обезбедувајќи типични пакети наместо пакети како зависност.

За грешките откриени во Flatpak

Во овие нови безбедносни ажурирања, решението се дава на две откриени грешки, од кои едната беше откриена од Рајан Гонзалез (CVE-2023-28101) откри дека злонамерните одржувачи на апликацијата Flatpak може да манипулираат или да го сокријат овој приказ на дозволата со барање дозволи кои вклучуваат контролни кодови на терминал ANSI или други знаци што не се печатат.

Ова беше поправено во Flatpak 1.14.4, 1.15.4, 1.12.8 и 1.10.8 со прикажување на избегнати знаци кои не се печатат (\xXX, \uXXXX, \UXXXXXXXXXX) за да не го менуваат однесувањето на терминалот, а исто така и со обидот знаци кои не се печатат во одредени контексти како невалидни (недозволени).

При инсталирање или ажурирање на апликацијата Flatpak со помош на flatpak CLI, на корисникот вообичаено му се прикажуваат специјалните дозволи што ги има новата апликација во своите метаподатоци, за да може да донесе донекаде информирана одлука дали да дозволи нејзина инсталација.

При опоравување а дозволите за апликација за прикажување на корисникот, графичкиот интерфејс продолжува да биде одговорен за филтрирање или бегство на какви било знаци кои тие имаат посебно значење за вашите библиотеки GUI.

За делот од описот на ранливостиТие го споделуваат следново со нас:

  • CVE-2023-28100: можност за копирање и залепување текст во баферот за внесување на виртуелната конзола преку манипулација со TIOCLINUX ioctl при инсталирање Flatpak пакет направен од напаѓачот. На пример, ранливоста може да се искористи за да се изврши стартување на произволни команди на конзолата откако ќе заврши процесот на инсталација на пакет од трета страна. Проблемот се појавува само во класичната виртуелна конзола (/dev/tty1, /dev/tty2, итн.) и не влијае на сесиите во xterm, gnome-terminal, Konsole и други графички терминали. Ранливоста не е специфична за flatpak и може да се користи за напад на други апликации, на пример, претходно беа пронајдени слични пропусти што дозволуваа замена на знаци преку интерфејсот TIOCSTI ioctl во /bin/ песокот и snap.
  • CVE-2023-28101– Способност да се користат секвенци за бегство во списокот со дозволи во метаподатоците на пакетот за да се сокријат информациите за бараните продолжени дозволи што се прикажуваат во терминалот за време на инсталацијата или надградбата на пакетот преку интерфејсот на командната линија. Напаѓачот може да ја искористи оваа ранливост за да ги измами корисниците за дозволите што се користат на пакетот. Се споменува дека GUI-ите за libflatpak, како што се софтверот GNOME и KDE Plasma Discover, не се директно засегнати од ова.

Конечно, се споменува дека како решение можете да користите GUI како софтверскиот центар GNOME наместо командната линија
интерфејс или, исто така, се препорачува да инсталирате само апликации на чии одржувачи им верувате.

Доколку сте заинтересирани да дознаете повеќе за тоа, можете да се консултирате со детали на следниот линк.


Содржината на статијата се придржува до нашите принципи на уредничка етика. За да пријавите грешка, кликнете овде.

Биди прв да коментираш

Оставете го вашиот коментар

Вашата е-маил адреса нема да бидат објавени. Задолжителни полиња се означени со *

*

*

  1. Одговорен за податоците: Мигел Анхел Гатон
  2. Цел на податоците: Контролирајте СПАМ, управување со коментари.
  3. Легитимација: Ваша согласност
  4. Комуникација на податоците: Податоците нема да бидат соопштени на трети лица освен со законска обврска.
  5. Складирање на податоци: База на податоци хостирани од Occentus Networks (ЕУ)
  6. Права: Во секое време можете да ги ограничите, вратите и избришете вашите информации.