சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்
சமீபத்தில் இருந்தன சரிசெய்தல் புதுப்பிப்புகள் வெளியிடப்பட்டன கருவிப் பெட்டியின் Flatpak வெவ்வேறு பதிப்புகள் 1.14.4, 1.12.8, 1.10.8 மற்றும் 1.15.4, ஏற்கனவே கிடைக்கின்றன மற்றும் இரண்டு பாதிப்புகளை தீர்க்கும்.
பிளாட்பேக் பற்றி அறிமுகமில்லாதவர்களுக்கு, இதை நீங்கள் தெரிந்து கொள்ள வேண்டும் பயன்பாட்டு டெவலப்பர்கள் தங்கள் நிரல்களின் விநியோகத்தை எளிதாக்குவதை சாத்தியமாக்குகிறது ஒவ்வொரு விநியோகத்திற்கும் தனித்தனி கட்டிடங்களை உருவாக்காமல் ஒரு உலகளாவிய கொள்கலனை தயாரிப்பதன் மூலம் வழக்கமான விநியோக களஞ்சியங்களில் சேர்க்கப்படவில்லை.
பாதுகாப்பு உணர்வுள்ள பயனர்களுக்கு, Flatpak கேள்விக்குரிய பயன்பாட்டை ஒரு கொள்கலனில் இயக்க அனுமதிக்கிறது, நெட்வொர்க் செயல்பாடுகள் மற்றும் பயன்பாட்டுடன் தொடர்புடைய பயனர் கோப்புகளுக்கு மட்டுமே அணுகலை வழங்குகிறது. புதியது என்ன என்பதில் ஆர்வமுள்ள பயனர்களுக்கு, கணினியில் மாற்றங்களைச் செய்யாமல், சமீபத்திய சோதனை மற்றும் நிலையான பயன்பாடுகளின் நிலையான பதிப்புகளை நிறுவ Flatpak அனுமதிக்கிறது.
Flatpak மற்றும் Snap இடையே உள்ள முக்கிய வேறுபாடு என்னவென்றால், Snap முக்கிய கணினி சூழல் கூறுகள் மற்றும் கணினி அழைப்பு வடிகட்டுதல் அடிப்படையிலான தனிமைப்படுத்தலைப் பயன்படுத்துகிறது, அதே நேரத்தில் Flatpak ஒரு தனி கணினி கொள்கலனை உருவாக்குகிறது மற்றும் பெரிய இயக்க நேர தொகுப்புகளுடன் செயல்படுகிறது, இது சார்புகளாக தொகுப்புகளுக்கு பதிலாக வழக்கமான தொகுப்புகளை வழங்குகிறது.
Flatpak இல் கண்டறியப்பட்ட பிழைகள் பற்றி
இந்த புதிய பாதுகாப்பு புதுப்பிப்புகளில், இரண்டு கண்டறியப்பட்ட பிழைகளுக்கு தீர்வு வழங்கப்படுகிறது, Ryan Gonzalez (CVE-2023-28101) என்பவரால் கண்டுபிடிக்கப்பட்டது, Flatpak பயன்பாட்டின் தீங்கிழைக்கும் பராமரிப்பாளர்கள், ANSI முனையக் கட்டுப்பாட்டுக் குறியீடுகள் அல்லது பிற அச்சிட முடியாத எழுத்துக்களை உள்ளடக்கிய அனுமதிகளைக் கோருவதன் மூலம் இந்த அனுமதி காட்சியைக் கையாளலாம் அல்லது மறைக்கலாம் என்பதைக் கண்டறிந்தார்.
இது Flatpak 1.14.4, 1.15.4, 1.12.8 மற்றும் 1.10.8 இல் அச்சிடப்படாத எழுத்துகளை (\xXX, \uXXXX, \UXXXXXXXX) காண்பிப்பதன் மூலம் சரி செய்யப்பட்டது. சில சூழல்களில் அச்சிட முடியாத எழுத்துகள் தவறானவை (அனுமதிக்கப்படவில்லை).
Flatpak CLI ஐப் பயன்படுத்தி Flatpak பயன்பாட்டை நிறுவும் போது அல்லது புதுப்பிக்கும் போது, அதன் மெட்டாடேட்டாவில் புதிய பயன்பாட்டிற்கான சிறப்பு அனுமதிகள் பயனருக்குக் காண்பிக்கப்படும், எனவே அதன் நிறுவலை அனுமதிக்கலாமா என்பது குறித்து அவர்கள் ஓரளவு தகவலறிந்த முடிவை எடுக்கலாம்.
மீண்டு வரும்போது ஏ பயனருக்குக் காண்பிக்க பயன்பாட்டு அனுமதிகள், வரைகலை இடைமுகம் தொடர்கிறது எந்த எழுத்துக்களையும் வடிகட்டுவதற்கு அல்லது தப்பிப்பதற்கு பொறுப்பாக இருப்பது உங்கள் GUI நூலகங்களுக்கு அவை சிறப்புப் பொருளைக் கொண்டுள்ளன.
பகுதிக்கு பாதிப்புகளின் விளக்கத்திலிருந்துஅவர்கள் பின்வருவனவற்றை எங்களுடன் பகிர்ந்து கொள்கிறார்கள்:
- சி.வி.இ -2023-28100: TIOCLINUX ioctl கையாளுதலின் மூலம் விர்ச்சுவல் கன்சோல் உள்ளீட்டு இடையகத்தில் உரையை நகலெடுத்து ஒட்டும் திறன் தாக்குபவர்-வடிவமைக்கப்பட்ட Flatpak தொகுப்பை நிறுவும் போது. எடுத்துக்காட்டாக, மூன்றாம் தரப்பு தொகுப்பின் நிறுவல் செயல்முறை முடிந்ததும் தன்னிச்சையான கன்சோல் கட்டளைகளின் துவக்கத்தை நிலைநிறுத்த பாதிப்பைப் பயன்படுத்தலாம். சிக்கல் கிளாசிக் மெய்நிகர் கன்சோலில் மட்டுமே தோன்றும் (/dev/tty1, /dev/tty2, முதலியன) மற்றும் xterm, gnome-terminal, Konsole மற்றும் பிற வரைகலை டெர்மினல்களில் அமர்வுகளைப் பாதிக்காது. பாதிப்பு என்பது பிளாட்பேக்கிற்குக் குறிப்பிட்டதல்ல, மேலும் பிற பயன்பாடுகளைத் தாக்கப் பயன்படுத்தலாம், எடுத்துக்காட்டாக, /bin/ சாண்ட்பாக்ஸ் மற்றும் ஸ்னாப்பில் உள்ள TIOCSTI ioctl இடைமுகம் வழியாக எழுத்து மாற்றத்தை அனுமதிக்கும் இதே போன்ற பாதிப்புகள் முன்பு கண்டறியப்பட்டன.
- CVE-2023-28101– தொகுப்பு நிறுவலின் போது டெர்மினலில் காட்டப்படும் அல்லது கட்டளை வரி இடைமுகம் வழியாக மேம்படுத்தும் போது கோரப்பட்ட நீட்டிக்கப்பட்ட அனுமதிகள் பற்றிய தகவலை மறைக்க, தொகுப்பு மெட்டாடேட்டாவில் உள்ள அனுமதிகள் பட்டியலில் உள்ள எஸ்கேப் சீக்வென்ஸைப் பயன்படுத்தும் திறன். தொகுப்பில் பயன்படுத்தப்படும் அனுமதிகளைப் பற்றி பயனர்களை ஏமாற்ற, தாக்குபவர் இந்த பாதிப்பைப் பயன்படுத்தலாம். க்னோம் மென்பொருள் மற்றும் கேடிஇ பிளாஸ்மா டிஸ்கவர் போன்ற libflatpak க்கான GUIகள் நேரடியாக பாதிக்கப்படவில்லை என்று குறிப்பிடப்பட்டுள்ளது.
இறுதியாக, கட்டளை வரிக்கு பதிலாக க்னோம் மென்பொருள் மையம் போன்ற GUI ஐப் பயன்படுத்தலாம் என்று குறிப்பிடப்பட்டுள்ளது.
இடைமுகம், அல்லது நீங்கள் நம்பும் பராமரிப்பாளர்களை மட்டுமே நிறுவ பரிந்துரைக்கப்படுகிறது.
இதைப் பற்றி மேலும் அறிய நீங்கள் ஆர்வமாக இருந்தால், நீங்கள் ஆலோசனை செய்யலாம் பின்வரும் இணைப்பில் விவரங்கள்.