Kung pinagsasamantalahan, ang mga kapintasan na ito ay maaaring magbigay-daan sa mga umaatake na makakuha ng hindi awtorisadong pag-access sa sensitibong impormasyon o sa pangkalahatan ay magdulot ng mga problema
kamakailan ay inilabas ang mga corrective update ng tool kit Flatpak para sa iba't ibang bersyon 1.14.4, 1.12.8, 1.10.8 at 1.15.4, na magagamit na at lumulutas ng dalawang kahinaan.
Para sa mga hindi pamilyar sa Flatpak, dapat mong malaman ito ginagawang posible para sa mga developer ng application na gawing simple ang pamamahagi ng kanilang mga programa na hindi kasama sa mga regular na imbakan ng pamamahagi sa pamamagitan ng paghahanda ng isang unibersal na lalagyan nang hindi gumagawa ng hiwalay na mga build para sa bawat pamamahagi.
Para sa mga gumagamit na may kamalayan sa seguridad, ang Flatpak nagbibigay-daan sa isang kaduda-dudang application na tumakbo sa isang lalagyan, pagbibigay lamang ng access sa mga function ng network at mga file ng user na nauugnay sa application. Para sa mga user na interesado sa kung ano ang bago, pinapayagan sila ng Flatpak na i-install ang pinakabagong pagsubok at mga stable na bersyon ng mga application nang hindi kinakailangang gumawa ng mga pagbabago sa system.
Ang pangunahing pagkakaiba sa pagitan ng Flatpak at Snap ay ang Snap ay gumagamit ng mga pangunahing bahagi ng kapaligiran ng system at system call filtering-based na paghihiwalay, habang ang Flatpak ay gumagawa ng isang hiwalay na lalagyan ng system at nagpapatakbo sa malalaking runtime suite, na nagbibigay ng mga tipikal na pakete sa halip na mga pakete bilang mga dependency.
Tungkol sa mga bug na nakita sa Flatpak
Sa mga bagong update sa seguridad na ito, ang solusyon ay ibinibigay sa dalawang nakitang mga error, isa sa mga natuklasan ni Ryan Gonzalez (CVE-2023-28101) ay natuklasan na ang mga nakakahamak na maintainer ng Flatpak application ay maaaring manipulahin o itago ang pagpapakita ng pahintulot na ito sa pamamagitan ng paghiling ng mga pahintulot na may kasamang ANSI terminal control code o iba pang hindi napi-print na mga character.
Naayos ito sa Flatpak 1.14.4, 1.15.4, 1.12.8 at 1.10.8 sa pamamagitan ng pagpapakita ng mga nakatakas na hindi naka-print na character (\xXX, \uXXXX, \UXXXXXXXXXX) upang hindi nila baguhin ang pag-uugali ng terminal, at sa pamamagitan din ng pagsubok hindi napi-print na mga character sa ilang partikular na konteksto bilang di-wasto (hindi pinapayagan).
Kapag nag-i-install o nag-a-update ng Flatpak app gamit ang flatpak CLI, karaniwang ipinapakita sa user ang mga espesyal na pahintulot na mayroon ang bagong app sa metadata nito, upang makagawa sila ng medyo may kaalamang desisyon tungkol sa kung papayagan ang pag-install nito.
Kapag gumaling a mga pahintulot ng application na ipakita sa user, nagpapatuloy ang graphical na interface pagiging responsable para sa pagsala o pagtakas sa anumang mga character na mayroon silang espesyal na kahulugan sa iyong mga aklatan ng GUI.
Para sa bahagi mula sa paglalarawan ng mga kahinaanIbinabahagi nila sa amin ang sumusunod:
- CVE-2023-28100: kakayahang kopyahin at i-paste ang text sa virtual console input buffer sa pamamagitan ng TIOCLINUX ioctl manipulation kapag nag-i-install ng isang attacker-crafted na Flatpak package. Halimbawa, ang kahinaan ay maaaring gamitin upang isagawa ang paglulunsad ng mga arbitrary na console command pagkatapos makumpleto ang proseso ng pag-install ng isang third-party na package. Ang problema ay lilitaw lamang sa klasikong virtual console (/dev/tty1, /dev/tty2, atbp.) at hindi nakakaapekto sa mga session sa xterm, gnome-terminal, Konsole at iba pang mga graphical na terminal. Ang kahinaan ay hindi partikular sa flatpak at maaaring gamitin sa pag-atake sa iba pang mga application, halimbawa, ang mga katulad na kahinaan ay dati nang natagpuan na nagpapahintulot sa pagpapalit ng character sa pamamagitan ng interface ng TIOCSTI ioctl sa /bin/ sandbox at snap.
- CVE-2023-28101– Kakayahang gumamit ng mga escape sequence sa listahan ng mga pahintulot sa metadata ng package upang itago ang impormasyon tungkol sa hiniling na pinalawig na mga pahintulot na ipinapakita sa terminal sa panahon ng pag-install o pag-upgrade ng package sa pamamagitan ng interface ng command line. Maaaring gamitin ng isang attacker ang kahinaang ito para linlangin ang mga user tungkol sa mga pahintulot na ginamit sa package. Nabanggit na ang mga GUI para sa libflatpak, tulad ng GNOME Software at KDE Plasma Discover, ay hindi direktang apektado nito.
Sa wakas, nabanggit na bilang isang workaround maaari kang gumamit ng GUI tulad ng GNOME Software Center sa halip na command line
interface, o inirerekomenda rin na mag-install lang ng mga application na pinagkakatiwalaan mo ng mga maintainer.
Kung interesado kang malaman ang higit pa tungkol dito, maaari kang sumangguni sa mga detalye sa sumusunod na link.