niedawno były wydane aktualizacje korygujące zestawu narzędzi Flatpak dla różnych wersji 1.14.4, 1.12.8, 1.10.8 i 1.15.4, które są już dostępne i które rozwiązują dwie luki.
Dla tych, którzy nie znają Flatpak, powinniście wiedzieć, że to umożliwia twórcom aplikacji uproszczenie dystrybucji ich programów które nie są zawarte w zwykłych repozytoriach dystrybucji, przygotowując uniwersalny kontener bez tworzenia osobnych kompilacji dla każdej dystrybucji.
Dla użytkowników dbających o bezpieczeństwo, Flatpak umożliwia uruchomienie podejrzanej aplikacji w kontenerze, dając dostęp tylko do funkcji sieciowych i plików użytkownika powiązanych z aplikacją. Użytkownikom zainteresowanym nowościami Flatpak umożliwia zainstalowanie najnowszych testowych i stabilnych wersji aplikacji bez konieczności wprowadzania zmian w systemie.
Kluczowa różnica między Flatpak i Snap polega na tym, że Snap wykorzystuje główne komponenty środowiska systemowego i izolację opartą na filtrowaniu wywołań systemowych, podczas gdy Flatpak tworzy oddzielny kontener systemowy i działa z dużymi pakietami wykonawczymi, zapewniając typowe pakiety zamiast pakietów jako zależności.
O błędach wykrytych w Flatpak
W tych nowych aktualizacjach zabezpieczeń rozwiązanie jest podane dla dwóch wykrytych błędów, z których jeden został odkryty przez Ryana Gonzaleza (CVE-2023-28101) odkrył, że złośliwi opiekunowie aplikacji Flatpak mogą manipulować lub ukrywać wyświetlanie uprawnień, żądając uprawnień zawierających kody kontrolne terminala ANSI lub inne niedrukowalne znaki.
Zostało to naprawione w Flatpak 1.14.4, 1.15.4, 1.12.8 i 1.10.8 przez wyświetlanie znaków ucieczki niedrukowalnych (\xXX, \uXXXX, \UXXXXXXXXXX), aby nie zmieniały zachowania terminala, a także próbując znaki niedrukowalne w niektórych kontekstach jako nieprawidłowe (niedozwolone).
Podczas instalowania lub aktualizowania aplikacji Flatpak za pomocą interfejsu CLI flatpak użytkownik zazwyczaj widzi specjalne uprawnienia nowej aplikacji w swoich metadanych, dzięki czemu może podjąć nieco świadomą decyzję, czy zezwolić na jej instalację.
Podczas odzyskiwania a uprawnienia aplikacji do wyświetlenia użytkownikowi, interfejs graficzny jest kontynuowany bycie odpowiedzialnym za filtrowanie lub unikanie wszelkich znaków, które mają one specjalne znaczenie dla twoich bibliotek GUI.
Za część z opisu luk w zabezpieczeniachDzielą się z nami następującymi informacjami:
- CVE-2023-28100: możliwość kopiowania i wklejania tekstu do bufora wejściowego konsoli wirtualnej za pomocą manipulacji TIOCLINUX ioctl podczas instalowania pakietu Flatpak stworzonego przez atakującego. Na przykład lukę można wykorzystać do stopniowego uruchamiania dowolnych poleceń konsoli po zakończeniu procesu instalacji pakietu innej firmy. Problem pojawia się tylko w klasycznej konsoli wirtualnej (/dev/tty1, /dev/tty2 itp.) i nie wpływa na sesje w xterm, gnome-terminal, Konsole i innych terminalach graficznych. Luka w zabezpieczeniach nie jest specyficzna dla flatpak i może być wykorzystana do atakowania innych aplikacji, na przykład podobne luki zostały wykryte wcześniej, które umożliwiały podstawianie znaków za pośrednictwem interfejsu TIOCSTI ioctl w /bin/ sandbox i snap.
- CVE-2023-28101– Możliwość użycia sekwencji ucieczki na liście uprawnień w metadanych pakietu w celu ukrycia informacji o żądanych uprawnieniach rozszerzonych, które są wyświetlane w terminalu podczas instalacji lub aktualizacji pakietu za pośrednictwem interfejsu wiersza poleceń. Osoba atakująca może wykorzystać tę lukę, aby oszukać użytkowników w sprawie uprawnień używanych w pakiecie. Wspomniano, że GUI dla libflatpak, takie jak GNOME Software i KDE Plasma Discover, nie są przez to bezpośrednio dotknięte.
Na koniec wspomniano, że jako obejście można użyć GUI, takiego jak Centrum oprogramowania GNOME zamiast wiersza poleceń
lub też zaleca się instalowanie tylko aplikacji, których opiekunom ufasz.
Jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się z szczegóły w poniższym linku.