Hvis de utnyttes, kan disse feilene tillate angripere å få uautorisert tilgang til sensitiv informasjon eller generelt forårsake problemer
nylig var korrigerende oppdateringer utgitt av verktøysettet Flatpak for de forskjellige versjonene 1.14.4, 1.12.8, 1.10.8 og 1.15.4, som allerede er tilgjengelige og som løser to sårbarheter.
For de som ikke er kjent med Flatpak, bør du vite at dette gjør det mulig for applikasjonsutviklere å forenkle distribusjonen av programmene sine som ikke er inkludert i de vanlige distribusjonslagrene ved å klargjøre en universalbeholder uten å lage separate bygg for hver distribusjon.
For sikkerhetsbevisste brukere, Flatpak lar en tvilsom applikasjon kjøre i en beholder, gir kun tilgang til nettverksfunksjoner og brukerfiler knyttet til applikasjonen. For brukere som er interessert i hva som er nytt, lar Flatpak dem installere de nyeste test- og stabile versjoner av applikasjoner uten å måtte gjøre endringer i systemet.
Den viktigste forskjellen mellom Flatpak og Snap er at Snap bruker de viktigste systemmiljøkomponentene og systemanropsfiltreringsbasert isolasjon, mens Flatpak oppretter en separat systembeholder og opererer med store kjøretidspakker, og gir typiske pakker i stedet for pakker som avhengigheter.
Om feilene oppdaget i Flatpak
I disse nye sikkerhetsoppdateringene, løsningen er gitt til to oppdagede feil, hvorav en ble oppdaget av Ryan Gonzalez (CVE-2023-28101) oppdaget at ondsinnede vedlikeholdere av Flatpak-applikasjonen kunne manipulere eller skjule denne tillatelsesvisningen ved å be om tillatelser som inkluderer ANSI-terminalkontrollkoder eller andre tegn som ikke kan skrives ut.
Dette ble fikset i Flatpak 1.14.4, 1.15.4, 1.12.8 og 1.10.8 ved å vise escaped ikke-utskriftstegn (\xXX, \uXXXX, \UXXXXXXXXXX) slik at de ikke endrer terminaloppførsel, og også ved å prøve ikke-utskrivbare tegn i visse sammenhenger som ugyldige (ikke tillatt).
Når du installerer eller oppdaterer en Flatpak-app ved hjelp av flatpak CLI, får brukeren vanligvis de spesielle tillatelsene den nye appen har i metadataene, slik at de kan ta en litt informert beslutning om hvorvidt de skal tillate installasjonen.
Ved utvinning a applikasjonstillatelser for å vise til brukeren, fortsetter det grafiske grensesnittet være ansvarlig for å filtrere eller unnslippe tegn som de har spesiell betydning for GUI-bibliotekene dine.
For den delen fra beskrivelsen av sårbarheterDe deler følgende med oss:
- CVE-2023-28100: muligheten til å kopiere og lime inn tekst i den virtuelle konsollens inngangsbuffer via TIOCLINUX ioctl-manipulasjon når du installerer en angriper-laget Flatpak-pakke. For eksempel kan sårbarheten brukes til å iscenesette lanseringen av vilkårlige konsollkommandoer etter at installasjonsprosessen av en tredjepartspakke er fullført. Problemet vises bare i den klassiske virtuelle konsollen (/dev/tty1, /dev/tty2, etc.) og påvirker ikke økter i xterm, gnome-terminal, Konsole og andre grafiske terminaler. Sårbarheten er ikke spesifikk for flatpak og kan brukes til å angripe andre applikasjoner, for eksempel ble lignende sårbarheter tidligere funnet som tillot tegnsubstitusjon via TIOCSTI ioctl-grensesnittet i /bin/ sandbox and snap.
- CVE-2023-28101– Evne til å bruke escape-sekvenser i tillatelseslisten i pakkens metadata for å skjule informasjon om de forespurte utvidede tillatelsene som vises i terminalen under pakkeinstallasjon eller oppgradering via kommandolinjegrensesnittet. En angriper kan bruke dette sikkerhetsproblemet til å lure brukere om tillatelsene som brukes på pakken. Det nevnes at GUI-ene for libflatpak, slik som GNOME Software og KDE Plasma Discover, ikke er direkte berørt av dette.
Til slutt nevnes det at som en løsning kan du bruke en GUI som GNOME Software Center i stedet for kommandolinjen
grensesnitt, eller det anbefales også å bare installere applikasjoner hvis vedlikeholdere du stoler på.
Hvis du er interessert i å vite mer om det, kan du konsultere detaljer i følgende lenke.