Simon McVittie ayaa shaaca ka qaaday dhawaan taas oo aqoonsatay u nuglaanta (CVE-2021-21261) taas waxay u oggolaaneysaa inay ka fogaato go'doominta goobta go'doonsan kuna socodsiiyaan koodh aan macquul ahayn jawiga nidaamka martida ee geynta xirmooyinka iyo utility-ga Flatpak.
Nuglaanta wuxuu joogaa adeegga D-Bus flatpak-portal (flatpak-portal sidoo kale loo yaqaan magaca adeegga D-Bus org.freedesktop.portal.Flatpak), kaas oo bixiya furitaanka "marinada" loo isticmaalo abaabulka marin u helka ilaha ka baxsan weelka.
Ku saabsan xukunka
Waana in u nuglaanta lagu xusay sidan oo kale aysan ahayn, maadaama ay ugu wacan tahay hawlgalka adeegga "Flatpak-portal" waxay u oggolaaneysaa codsiyada sanduuqa inay ku bilaabaan hawsha ubadkooda jawi sanduuq cusub, oo isku mid ah ama ka xoog badan goobaha go'doominta lagu dabaqo (tusaale ahaan, si loo maareeyo waxyaabaha aan la aaminin).
U nuglaanta ayaa loo isticmaalay, tan iyo u gudbi isbedelada deegaanka gaarka ah ee habka wicitaanka kontoroolayaasha aan go'doomin nidaamka martida (tusaale ahaan, adoo ku ordaya amarka «flatpak orod«). Codsi xaasidnimo ah wuxuu kashifi karaa doorsoomayaasha deegaanka ee saameeya fulinta flatpak isla markaana fuliya koodh kasta oo dhinaca martida ah.
Adeegga flatpak-session-help (org.freedesktop.flatpakal yaa gala flatpak-spawn –qof) waxaa loogu talagalay inay bixiso codsiyo calaamadeysan gaar ahaan awoodda lagu fulinayo koodhka sharci darrada ah ee nidaamka martida loo yahay, markaa maahan u nuglaansho in ay waliba ku tiirsan tahay doorsoomayaasha deegaanka ee la siiyo.
Bixinta gelitaanka adeegga org.freedesktop.Flatpak waxay muujineysaa in dalabku yahay mid lagu kalsoonaan karo isla markaana si sharci ah u fulin kara koodhadh aan sharci ahayn oo ka baxsan sanduuqa ciidda. Tusaale ahaan, jawiga horumarka isku dhafan ee GNOME Builder waxaa lagu calaamadeeyay inuu ku kalsoon yahay qaabkan.
Adeegga 'Flatpak portal' ee 'D-Bus service' ayaa u oggolaanaya codsiyada sanduuqa ciidda 'Flatpak' inay ku soo bandhigaan mawduucyadooda sanduuqa cusub ee sandbox, ha ahaato isla goobaha amniga ee la midka ah qofka soo wacaya ama leh goobo nabadgelyo oo xaddidan.
Tusaale tan, ayaa ah in lagu xusay in daalacashada shabakadaha lagu soo raray Flatpak sida Chromium, si loo bilaabo taxaneyaal kaas oo ka baaraandegi doona waxyaabaha ku jira bogga aan la aamini karin oo siin doona mawduucyadaas sanduuqa ciida ee ka xakameyn badan kan biraawsarka laftiisa.
Noocyada nugul, adeegga bogga Flatpak wuxuu u gudbiyaa isbeddelada bii'ada ee uu ku dhawaaqay wicitaanku habraacyada aan sandboxed ahayn ee nidaamka martigelinta, iyo gaar ahaan amarka flatpak ee loo isticmaalo in lagu soo saaro tusaalaha cusub ee sanduuqa.
Codsi xumaan ama khalkhal gelin ah Flatpak ayaa dejin kara doorsoomayaasha deegaanka ee lagu kalsoon yahay amarka flatpak oo u adeegsada inay ku fuliyaan koodh sharci darro ah oo aan ku jirin sanduuqa ciidda.
Waa in la xusuusnaadaa in horumariyeyaal badan oo flatpak ah ay joojiyaan habka go'doominta ama ay si buuxda u helaan galka guriga.
Tusaale ahaan, xirmooyinka GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity, iyo xirmooyinka VLC waxay la yimaadaan qaab go'doomin xadidan. Haddii xirmooyinka marin u helka galka guriga ay waxyeelloobeen, in kasta oo ay jirto sumadda «sanduuq»Sharaxaada xirmada, weeraryahan wuxuu ubaahanyahay inuu wax ka badalo feylka ~ / .bashrc si uu ufuliyo koodhkiisa.
Arrin gaar ah ayaa ah xakameynta isbeddelada xirmooyinka iyo kalsoonida abuureyaasha xirmooyinka, kuwaas oo inta badan aan la xiriirin mashruuca weyn ama qeybinta.
Xalka
Waxaa la xusay in dhibaatada lagu hagaajiyay noocyada Flatpak 1.10.0 iyo 1.8.5, laakiin markii dambe isbeddel dib-u-dhac ah ayaa ka muuqday dib-u-eegista taas oo keentay dhibaatooyin isku-soo-ururinta nidaamyada leh taageerada xumbada lagu dhejiyo calanka setuid
Intaa ka dib dib u celinta ku xusan waxaa lagu hagaajiyay nooca 1.10.1 (halka cusbooneysiinta laanta 1.8.x aan wali la helin).
Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato Ku saabsan warbixinta nuglaanta, waad hubin kartaa faahfaahinta Xiriirka soo socda.