नवीन सुधारणा अद्यतनांसह Flatpak मध्ये दोन दोष निश्चित केले

भेद्यता

शोषण केल्यास, या त्रुटी हल्लेखोरांना संवेदनशील माहितीवर अनधिकृत प्रवेश मिळवू शकतात किंवा सामान्यत: समस्या निर्माण करू शकतात

अलीकडे होते सुधारात्मक अद्यतने जारी केली टूल किटचे फ्लॅटपॅक 1.14.4, 1.12.8, 1.10.8 आणि 1.15.4 विविध आवृत्त्यांसाठी, जे आधीच उपलब्ध आहेत आणि जे दोन भेद्यता सोडवतात.

फ्लॅटपाकशी अपरिचित असलेल्यांसाठी, आपल्याला हे माहित असले पाहिजे अनुप्रयोग विकासकांना त्यांच्या कार्यक्रमांचे वितरण सुलभ करणे शक्य करते प्रत्येक वितरणासाठी स्वतंत्र बिल्ड न बनवता सार्वत्रिक कंटेनर तयार करून नियमित वितरण भांडारांमध्ये समाविष्ट केलेले नाहीत.

सुरक्षा-सजग वापरकर्त्यांसाठी, Flatpak शंकास्पद ऍप्लिकेशनला कंटेनरमध्ये चालवण्यास अनुमती देते, फक्त नेटवर्क फंक्शन्स आणि ऍप्लिकेशनशी निगडित वापरकर्ता फाइल्समध्ये प्रवेश देणे. नवीन काय आहे याबद्दल स्वारस्य असलेल्या वापरकर्त्यांसाठी, Flatpak त्यांना सिस्टममध्ये बदल न करता नवीनतम चाचणी आणि अॅप्लिकेशनच्या स्थिर आवृत्त्या स्थापित करण्याची परवानगी देते.

फ्लॅटपॅक आणि स्नॅपमधील महत्त्वाचा फरक म्हणजे स्नॅप मुख्य सिस्टम पर्यावरण घटक आणि सिस्टम कॉल फिल्टरिंग-आधारित आयसोलेशन वापरते, तर फ्लॅटपॅक स्वतंत्र सिस्टम कंटेनर तयार करते आणि मोठ्या रनटाइम सूटसह ऑपरेट करते, डिपेंडेंसी म्हणून पॅकेजेसऐवजी ठराविक पॅकेजेस प्रदान करते.

Flatpak मध्ये आढळलेल्या बगबद्दल

या नवीन सुरक्षा अद्यतनांमध्ये, दोन आढळलेल्या त्रुटींवर उपाय दिलेला आहे, त्यापैकी एक Ryan Gonzalez (CVE-2023-28101) यांनी शोधून काढले होते की Flatpak अनुप्रयोगाचे दुर्भावनापूर्ण देखभाल करणारे ANSI टर्मिनल कंट्रोल कोड किंवा इतर नॉन-प्रिंट करण्यायोग्य वर्ण समाविष्ट असलेल्या परवानग्यांसाठी विनंती करून हे परवानगी प्रदर्शन हाताळू शकतात किंवा लपवू शकतात.

फ्लॅटपॅक 1.14.4, 1.15.4, 1.12.8 आणि 1.10.8 मध्ये एस्केप केलेले नॉन-प्रिंटिंग वर्ण (\xXX, \uXXXX, \UXXXXXXXXXX) प्रदर्शित करून हे निश्चित केले होते जेणेकरून ते टर्मिनल वर्तन बदलत नाहीत आणि प्रयत्न करून देखील विशिष्ट संदर्भांमध्ये छापण्यायोग्य नसलेले वर्ण अवैध (अनुमत नाही).

Flatpak CLI वापरून Flatpak अॅप इन्स्टॉल किंवा अपडेट करताना, वापरकर्त्याला विशेषत: नवीन अॅपला त्याच्या मेटाडेटामध्ये असलेल्या विशेष परवानग्या दाखवल्या जातात, जेणेकरून ते त्याच्या इन्स्टॉलेशनला परवानगी द्यायची की नाही याबद्दल काही प्रमाणात माहितीपूर्ण निर्णय घेऊ शकतात.

पुनर्प्राप्त करताना ए वापरकर्त्याला प्रदर्शित करण्यासाठी अनुप्रयोग परवानग्या, ग्राफिकल इंटरफेस चालू राहतो कोणतेही वर्ण फिल्टर करण्यासाठी किंवा सुटण्यासाठी जबाबदार असणे तुमच्या GUI लायब्ररीसाठी त्यांचा विशेष अर्थ आहे.

भागासाठी भेद्यतेच्या वर्णनावरूनते आमच्यासह खालील सामायिक करतात:

  • सीव्हीई -2023-28100: आक्रमणकर्त्याने तयार केलेले फ्लॅटपॅक पॅकेज स्थापित करताना TIOCLINUX ioctl मॅनिपुलेशनद्वारे व्हर्च्युअल कन्सोल इनपुट बफरमध्ये मजकूर कॉपी आणि पेस्ट करण्याची क्षमता. उदाहरणार्थ, थर्ड-पार्टी पॅकेजची इन्स्टॉलेशन प्रक्रिया पूर्ण झाल्यानंतर अनियंत्रित कन्सोल कमांड लाँच करण्यासाठी भेद्यता वापरली जाऊ शकते. समस्या फक्त क्लासिक वर्च्युअल कन्सोलमध्ये दिसून येते (/dev/tty1, /dev/tty2, इ.) आणि xterm, gnome-terminal, Konsole आणि इतर ग्राफिकल टर्मिनल्समधील सत्रांवर परिणाम करत नाही. भेद्यता फ्लॅटपॅकसाठी विशिष्ट नाही आणि इतर अनुप्रयोगांवर हल्ला करण्यासाठी वापरली जाऊ शकते, उदाहरणार्थ, तत्सम भेद्यता पूर्वी आढळल्या होत्या ज्याने /bin/ सँडबॉक्स आणि स्नॅपमध्ये TIOCSTI ioctl इंटरफेसद्वारे वर्ण बदलण्याची परवानगी दिली होती.
  • सीव्हीई- 2023-28101- पॅकेजच्या स्थापनेदरम्यान टर्मिनलमध्ये प्रदर्शित केलेल्या विनंती केलेल्या विस्तारित परवानग्यांबद्दल माहिती लपवण्यासाठी किंवा कमांड लाइन इंटरफेसद्वारे अपग्रेड करण्यासाठी पॅकेज मेटाडेटामधील परवानग्या सूचीमधील एस्केप सीक्वेन्स वापरण्याची क्षमता. पॅकेजवर वापरलेल्या परवानग्यांबद्दल वापरकर्त्यांना फसवण्यासाठी आक्रमणकर्ता या असुरक्षा वापरू शकतो. असे नमूद केले आहे की libflatpak साठी GUIs, जसे की GNOME Software आणि KDE Plasma Discover, याचा थेट परिणाम होत नाही.

शेवटी, हे नमूद केले आहे की वर्कअराउंड म्हणून तुम्ही कमांड लाइनऐवजी GNOME सॉफ्टवेअर सेंटर सारखे GUI वापरू शकता.
इंटरफेस, किंवा फक्त तेच अनुप्रयोग स्थापित करण्याची शिफारस केली जाते ज्यांच्या देखभालकर्त्यांवर तुमचा विश्वास आहे.

तुम्हाला याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, तुम्ही सल्ला घेऊ शकता पुढील लिंकवर तपशील.


टिप्पणी करणारे सर्वप्रथम व्हा

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.