Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
nedávno boli vydané opravné aktualizácie súpravy nástrojov Flatpak pre rôzne verzie 1.14.4, 1.12.8, 1.10.8 a 1.15.4, ktoré sú už dostupné a ktoré riešia dve zraniteľnosti.
Pre tých, ktorí nie sú oboznámení s Flatpakom, by ste mali vedieť, že toto umožňuje vývojárom aplikácií zjednodušiť distribúciu svojich programov ktoré nie sú zahrnuté v bežných distribučných repozitároch, prípravou univerzálneho kontajnera bez vytvárania samostatných zostavení pre každú distribúciu.
Pre používateľov, ktorí si uvedomujú bezpečnosť, Flatpak umožňuje spustenie spornej aplikácie v kontajneri, poskytuje prístup iba k sieťovým funkciám a užívateľským súborom spojeným s aplikáciou. Používateľom, ktorí sa zaujímajú o novinky, Flatpak umožňuje inštalovať najnovšie testovacie a stabilné verzie aplikácií bez toho, aby museli robiť zmeny v systéme.
Kľúčový rozdiel medzi Flatpak a Snap je v tom, že Snap používa hlavné komponenty systémového prostredia a izoláciu založenú na filtrovaní systémových volaní, zatiaľ čo Flatpak vytvára samostatný systémový kontajner a pracuje s veľkými runtime zostavami, pričom namiesto balíčkov ako závislosti poskytuje typické balíčky.
O chybách zistených v Flatpak
V týchto nových aktualizáciách zabezpečenia riešenie je dané dvom zisteným chybám, z ktorých jeden objavil Ryan Gonzalez (CVE-2023-28101), zistil, že zlomyseľní správcovia aplikácie Flatpak by mohli manipulovať alebo skryť toto zobrazenie povolení požiadaním o povolenia, ktoré zahŕňajú riadiace kódy terminálu ANSI alebo iné netlačiteľné znaky.
Toto bolo opravené vo Flatpak 1.14.4, 1.15.4, 1.12.8 a 1.10.8 zobrazením uniknutých netlačiteľných znakov (\xXX, \uXXXX, \UXXXXXXXXXX), aby nemenili správanie terminálu, a tiež pokusom netlačiteľné znaky v určitých kontextoch ako neplatné (nie je povolené).
Pri inštalácii alebo aktualizácii aplikácie Flatpak pomocou rozhrania CLI flatpak sa používateľovi zvyčajne zobrazia špeciálne povolenia, ktoré má nová aplikácia vo svojich metadátach, takže sa môže informovane rozhodnúť, či povolí jej inštaláciu.
Pri zotavovaní a oprávnenia aplikácie zobraziť používateľovi, grafické rozhranie pokračuje zodpovednosť za filtrovanie alebo escapovanie akýchkoľvek znakov, ktoré majú osobitný význam pre vaše knižnice GUI.
Pre časť z popisu zraniteľnostíZdieľajú s nami nasledovné:
- CVE-2023-28100: schopnosť kopírovať a vkladať text do vstupnej vyrovnávacej pamäte virtuálnej konzoly pomocou manipulácie TIOCLINUX ioctl pri inštalácii balíka Flatpak vytvoreného útočníkom. Zraniteľnosť by sa napríklad mohla použiť na zinscenovanie spúšťania ľubovoľných príkazov konzoly po dokončení procesu inštalácie balíka tretej strany. Problém sa objavuje iba v klasickej virtuálnej konzole (/dev/tty1, /dev/tty2 atď.) a neovplyvňuje relácie v xterm, gnome-terminal, Konsole a iných grafických termináloch. Zraniteľnosť nie je špecifická pre flatpak a možno ju použiť na útok na iné aplikácie, napríklad predtým boli nájdené podobné zraniteľnosti, ktoré umožňovali nahradenie znakov cez rozhranie TIOCSTI ioctl v /bin/ sandbox a snap.
- CVE-2023 28101,– Možnosť použiť sekvencie escape v zozname povolení v metaúdajoch balíka na skrytie informácií o požadovaných rozšírených povoleniach, ktoré sa zobrazujú v termináli počas inštalácie balíka alebo aktualizácie cez rozhranie príkazového riadka. Útočník by mohol použiť túto chybu zabezpečenia na oklamanie používateľov o povoleniach použitých v balíku. Spomína sa, že GUI pre libflatpak, ako napríklad GNOME Software a KDE Plasma Discover, nie sú týmto priamo ovplyvnené.
Nakoniec je spomenuté, že ako riešenie môžete namiesto príkazového riadka použiť GUI ako GNOME Software Center
alebo sa tiež odporúča inštalovať iba aplikácie, ktorých správcom dôverujete.
Ak máte záujem dozvedieť sa viac o tom, môžete sa poradiť s podrobnosti v nasledujúcom odkaze.