Rregulloi dy gabime në Flatpak me përditësimet e reja të rregullimit

Darkcrizt

Minuta 4

dobësi

Nëse shfrytëzohen, këto të meta mund t'i lejojnë sulmuesit të kenë akses të paautorizuar në informacione të ndjeshme ose në përgjithësi të shkaktojnë probleme

kohët e fundit ishin lëshuar përditësime korrigjuese të kompletit të mjeteve Flatpak për versionet e ndryshme 1.14.4, 1.12.8, 1.10.8 dhe 1.15.4, të cilat janë tashmë të disponueshme dhe që zgjidhin dy dobësi.

Për ata që nuk janë të njohur me Flatpak, duhet ta dini se kjo bën të mundur që zhvilluesit e aplikacioneve të thjeshtojnë shpërndarjen e programeve të tyre që nuk përfshihen në magazinat e rregullta të shpërndarjes duke përgatitur një kontenier universal pa krijuar ndërtime të veçanta për secilën shpërndarje.

Për përdoruesit e ndërgjegjshëm për sigurinë, Flatpak lejon që një aplikacion i dyshimtë të ekzekutohet në një kontejner, duke u dhënë akses vetëm funksioneve të rrjetit dhe skedarëve të përdoruesit të lidhur me aplikacionin. Për përdoruesit e interesuar për të rejat, Flatpak u lejon atyre të instalojnë versionet më të fundit të testimit dhe të qëndrueshme të aplikacioneve pa pasur nevojë të bëjnë ndryshime në sistem.

Dallimi kryesor midis Flatpak dhe Snap është se Snap përdor përbërësit kryesorë të mjedisit të sistemit dhe izolimin e bazuar në filtrimin e thirrjeve të sistemit, ndërsa Flatpak krijon një kontejner të veçantë të sistemit dhe funksionon me suita të mëdha funksionimi, duke ofruar paketa tipike në vend të paketave si varësi.

Rreth defekteve të zbuluara në Flatpak

Në këto përditësime të reja të sigurisë, zgjidhja u jepet dy gabimeve të zbuluara, një prej të cilëve u zbulua nga Ryan Gonzalez (CVE-2023-28101) zbuloi se mirëmbajtësit me qëllim të keq të aplikacionit Flatpak mund të manipulojnë ose fshehin këtë shfaqje të lejes duke kërkuar leje që përfshijnë kodet e kontrollit të terminalit ANSI ose karaktere të tjera jo të printueshme.

Kjo u rregullua në Flatpak 1.14.4, 1.15.4, 1.12.8 dhe 1.10.8 duke shfaqur karaktere që nuk printohen (\xXX, \uXXXX, \UXXXXXXXXXX) në mënyrë që të mos ndryshojnë sjelljen e terminalit, si dhe duke u përpjekur karaktere jo të printueshme në kontekste të caktuara si të pavlefshme (nuk lejohen).

Kur instaloni ose përditësoni një aplikacion Flatpak duke përdorur flatpak CLI, përdoruesit zakonisht i shfaqen lejet speciale që aplikacioni i ri ka në meta të dhënat e tij, në mënyrë që ata të mund të marrin një vendim disi të informuar nëse do të lejojë instalimin e tij.

Kur shërohet a lejet e aplikacionit për t'i shfaqur përdoruesit, ndërfaqja grafike vazhdon duke qenë përgjegjës për filtrimin ose arratisjen e ndonjë karakteri që ato kanë kuptim të veçantë për bibliotekat tuaja GUI.

Për pjesën nga përshkrimi i dobësiveAta ndajnë me ne sa vijon:

  • CVE-2023-28100: aftësia për të kopjuar dhe ngjitur tekstin në buferin e hyrjes së konsolës virtuale nëpërmjet manipulimit TIOCLINUX ioctl kur instaloni një paketë Flatpak të krijuar nga sulmuesi. Për shembull, dobësia mund të përdoret për të vënë në skenë nisjen e komandave arbitrare të konsolës pasi të përfundojë procesi i instalimit të një pakete të palëve të treta. Problemi shfaqet vetëm në konsolën klasike virtuale (/dev/tty1, /dev/tty2, etj.) dhe nuk ndikon në sesionet në xterm, gnome-terminal, Konsole dhe terminale të tjera grafike. Dobësia nuk është specifike për flatpak dhe mund të përdoret për të sulmuar aplikacione të tjera, për shembull, dobësi të ngjashme u gjetën më parë që lejuan zëvendësimin e karaktereve nëpërmjet ndërfaqes TIOCSTI ioctl në sandbox /bin/ dhe snap.
  • CVE-2023-28101– Mundësia për të përdorur sekuencat e ikjes në listën e lejeve në metadatat e paketës për të fshehur informacionin rreth lejeve të zgjeruara të kërkuara që shfaqen në terminal gjatë instalimit të paketës ose përmirësimit nëpërmjet ndërfaqes së linjës së komandës. Një sulmues mund ta përdorë këtë dobësi për të mashtruar përdoruesit në lidhje me lejet e përdorura në paketë. Përmendet se GUI-të për libflatpak, si GNOME Software dhe KDE Plasma Discover, nuk preken drejtpërdrejt nga kjo.

Së fundi, përmendet se si një zgjidhje mund të përdorni një GUI si Qendra e Softuerit GNOME në vend të vijës së komandës
ndërfaqe, ose gjithashtu rekomandohet të instaloni vetëm aplikacione, mirëmbajtësit e të cilëve ju besoni.

Nëse jeni të interesuar të dini më shumë rreth tij, mund të konsultoheni me detajet në lidhjen vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.