Исправљене су две грешке у Флатпак-у са новим исправкама

Рањивост

Ако се искористе, ови недостаци могу омогућити нападачима да добију неовлашћени приступ осетљивим информацијама или генерално да изазову проблеме

недавно су били објављена корективна ажурирања комплета алата Флатпак за различите верзије 1.14.4, 1.12.8, 1.10.8 и 1.15.4, које су већ доступне и које решавају две рањивости.

За оне који нису упознати са Флатпаком, требали бисте знати да је ово омогућава програмерима апликација да поједноставе дистрибуцију својих програма који нису укључени у редовна дистрибутивна спремишта тако што ће припремити универзални контејнер без креирања засебних верзија за сваку дистрибуцију.

За кориснике који брину о безбедности, Флатпак дозвољава сумњивој апликацији да се покрене у контејнеру, дајући приступ само мрежним функцијама и корисничким датотекама повезаним са апликацијом. За кориснике које занима шта је ново, Флатпак им омогућава да инсталирају најновије тестне и стабилне верзије апликација без потребе за изменама у систему.

Кључна разлика између Флатпака и Снап-а је у томе што Снап користи главне компоненте системског окружења и изолацију засновану на филтрирању системских позива, док Флатпак креира посебан системски контејнер и ради са великим рунтиме склоповима, пружајући типичне пакете уместо пакета као зависности.

О грешкама откривеним у Флатпаку

У овим новим безбедносним исправкама, решење се даје на две откривене грешке, од којих је један открио Рајан Гонзалез (ЦВЕ-2023-28101) открио је да злонамерни одржаваоци апликације Флатпак могу да манипулишу или сакрију овај приказ дозволе тражећи дозволе које укључују АНСИ терминалске контролне кодове или друге знакове који се не могу штампати.

Ово је поправљено у Флатпак-у 1.14.4, 1.15.4, 1.12.8 и 1.10.8 тако што су приказани знакови који се не штампају (\кКСКС, \уКСКСКСКС, \УКСКСКСКСКСКСКСКСКСКС) тако да не мењају понашање терминала, као и покушајем знакови који се не могу штампати у одређеним контекстима као неважећи (није дозвољено).

Када инсталирате или ажурирате Флатпак апликацију користећи флатпак ЦЛИ, кориснику се обично приказују посебне дозволе које нова апликација има у својим метаподацима, тако да може донети донекле информисану одлуку о томе да ли ће дозволити њену инсталацију.

Приликом опоравка а дозволе апликације за приказ кориснику, графички интерфејс се наставља бити одговоран за филтрирање или избегавање свих знакова који имају посебно значење за ваше ГУИ библиотеке.

За део из описа рањивостиСа нама деле следеће:

  • ЦВЕ-2023-28100: могућност копирања и лепљења текста у бафер за унос виртуелне конзоле путем ТИОЦЛИНУКС иоцтл манипулације када инсталирате Флатпак пакет који је направио нападач. На пример, рањивост би се могла користити за покретање произвољних команди конзоле након што се заврши процес инсталације пакета треће стране. Проблем се појављује само у класичној виртуелној конзоли (/дев/тти1, /дев/тти2, итд.) и не утиче на сесије у ктерм, гноме-терминал, Консоле и другим графичким терминалима. Рањивост није специфична за флатпак и може се користити за напад на друге апликације, на пример, раније су пронађене сличне рањивости које су дозвољавале замену карактера преко ТИОЦСТИ иоцтл интерфејса у /бин/ сандбок-у и снап.
  • ЦВЕ-КСНУМКС-КСНУМКС– Могућност коришћења излазних секвенци на листи дозвола у метаподацима пакета за сакривање информација о траженим проширеним дозволама које се приказују у терминалу током инсталације пакета или надоградње преко интерфејса командне линије. Нападач би могао да искористи ову рањивост да превари кориснике у вези са дозволама које се користе у пакету. Помиње се да ГУИ за либфлатпак, као што су ГНОМЕ Софтваре и КДЕ Пласма Дисцовер, нису директно погођени овим.

Коначно, помиње се да као заобилазно решење можете користити ГУИ као што је ГНОМЕ софтверски центар уместо командне линије
интерфејс, или се такође препоручује да инсталирате само апликације чијим одржаваоцима верујете.

Ако сте заинтересовани да сазнате више о томе, можете консултовати детаљи у следећем линку.


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.