Fixade två buggar i Flatpak med de nya fixuppdateringarna

nyligen var korrigerande uppdateringar släppts av verktygssatsen Flatpak för de olika versionerna 1.14.4, 1.12.8, 1.10.8 och 1.15.4, som redan finns tillgängliga och som löser två sårbarheter.

För dem som inte känner till Flatpak, bör du veta att detta gör det möjligt för applikationsutvecklare att förenkla distributionen av sina program som inte ingår i de vanliga distributionsförråden genom att förbereda en universell behållare utan att skapa separata builds för varje distribution.

För säkerhetsmedvetna användare, Flatpak tillåter en tvivelaktig applikation att köras i en behållare, ger endast åtkomst till nätverksfunktioner och användarfiler som är associerade med applikationen. För användare som är intresserade av vad som är nytt tillåter Flatpak dem att installera de senaste test- och stabila versionerna av applikationer utan att behöva göra ändringar i systemet.

Den viktigaste skillnaden mellan Flatpak och Snap är att Snap använder de viktigaste systemmiljökomponenterna och systemanropsfiltrering-baserad isolering, medan Flatpak skapar en separat systembehållare och arbetar med stora runtime-sviter, och tillhandahåller typiska paket istället för paket som beroenden.

Om de buggar som upptäckts i Flatpak

I dessa nya säkerhetsuppdateringar, lösningen ges på två upptäckta fel, varav en upptäcktes av Ryan Gonzalez (CVE-2023-28101) upptäckte att skadliga underhållare av Flatpak-applikationen kunde manipulera eller dölja denna behörighetsvisning genom att begära behörigheter som inkluderar ANSI-terminalkontrollkoder eller andra tecken som inte kan skrivas ut.

Detta fixades i Flatpak 1.14.4, 1.15.4, 1.12.8 och 1.10.8 genom att visa escaped icke-utskrivna tecken (\xXX, \uXXXX, \UXXXXXXXXXX) så att de inte ändrar terminalbeteende, och även genom att försöka icke-utskrivbara tecken i vissa sammanhang som ogiltiga (inte tillåtet).

När du installerar eller uppdaterar en Flatpak-app med flatpak CLI, visas vanligtvis användaren de speciella behörigheter som den nya appen har i sin metadata, så att de kan fatta ett lite välgrundat beslut om huruvida installationen ska tillåtas.

Vid återhämtning a applikationsbehörigheter att visa för användaren, fortsätter det grafiska gränssnittet vara ansvarig för att filtrera eller undvika tecken som de har speciell betydelse för dina GUI-bibliotek.

För den delen från beskrivningen av sårbarheterDe delar följande med oss:

• CVE-2023-28100: möjlighet att kopiera och klistra in text i den virtuella konsolens indatabuffert via TIOCLINUX ioctl-manipulation när du installerar ett angriparskapat Flatpak-paket. Till exempel kan sårbarheten användas för att iscensätta lanseringen av godtyckliga konsolkommandon efter att installationsprocessen av ett tredjepartspaket är klar. Problemet visas bara i den klassiska virtuella konsolen (/dev/tty1, /dev/tty2, etc.) och påverkar inte sessioner i xterm, gnome-terminal, Konsole och andra grafiska terminaler. Sårbarheten är inte specifik för flatpak och kan användas för att attackera andra applikationer, till exempel hittades liknande sårbarheter tidigare som möjliggjorde teckensubstitution via TIOCSTI ioctl-gränssnittet i /bin/-sandlådan och snap.
• CVE-2023-28101– Möjlighet att använda escape-sekvenser i behörighetslistan i paketets metadata för att dölja information om de begärda utökade behörigheterna som visas i terminalen under paketinstallation eller uppgradering via kommandoradsgränssnittet. En angripare kan använda denna sårbarhet för att lura användare om de behörigheter som används på paketet. Det nämns att GUI:erna för libflatpak, såsom GNOME Software och KDE Plasma Discover, inte påverkas direkt av detta.

Slutligen nämns att som en lösning kan du använda ett GUI som GNOME Software Center istället för kommandoraden
gränssnitt, eller så rekommenderas det också att endast installera applikationer vars underhållare du litar på.

Om du är intresserad av att veta mer om det kan du konsultera detaljer i följande länk.