Đã sửa hai lỗi trong Flatpak với các bản cập nhật sửa lỗi mới

gần đây là bản cập nhật khắc phục được phát hành của bộ công cụ Flatpak cho các phiên bản khác nhau 1.14.4, 1.12.8, 1.10.8 và 1.15.4, đã có sẵn và giải quyết được hai lỗ hổng.

Đối với những người không quen thuộc với Flatpak, bạn nên biết rằng điều này giúp các nhà phát triển ứng dụng có thể đơn giản hóa việc phân phối các chương trình của họ không được bao gồm trong kho lưu trữ phân phối thông thường bằng cách chuẩn bị một vùng chứa chung mà không tạo các bản dựng riêng cho từng bản phân phối.

Đối với người dùng quan tâm đến bảo mật, Flatpak cho phép một ứng dụng có vấn đề chạy trong vùng chứa, chỉ cấp quyền truy cập vào các chức năng mạng và tệp người dùng được liên kết với ứng dụng. Đối với những người dùng quan tâm đến những gì mới, Flatpak cho phép họ cài đặt các phiên bản ứng dụng thử nghiệm và ổn định mới nhất mà không cần phải thực hiện các thay đổi đối với hệ thống.

Sự khác biệt chính giữa Flatpak và Snap là Snap sử dụng các thành phần môi trường hệ thống chính và cách ly dựa trên bộ lọc cuộc gọi hệ thống, trong khi Flatpak tạo một vùng chứa hệ thống riêng biệt và hoạt động với các bộ thời gian chạy lớn, cung cấp các gói điển hình thay vì các gói là phụ thuộc.

Về các lỗi được phát hiện trong Flatpak

Trong các bản cập nhật bảo mật mới này, giải pháp được đưa ra cho hai lỗi được phát hiện, một trong số đó được phát hiện bởi Ryan Gonzalez (CVE-2023-28101) đã phát hiện ra rằng những người bảo trì độc hại của ứng dụng Flatpak có thể thao túng hoặc ẩn hiển thị quyền này bằng cách yêu cầu các quyền bao gồm mã điều khiển thiết bị đầu cuối ANSI hoặc các ký tự không in được khác.

Điều này đã được khắc phục trong Flatpak 1.14.4, 1.15.4, 1.12.8 và 1.10.8 bằng cách hiển thị các ký tự không in được (\xXX, \uXXXX, \UXXXXXXXXXX) để chúng không thay đổi hành vi của thiết bị đầu cuối và cũng bằng cách thử ký tự không in được trong ngữ cảnh nhất định là không hợp lệ (không được phép).

Khi cài đặt hoặc cập nhật ứng dụng Flatpak bằng Flatpak CLI, người dùng thường được hiển thị các quyền đặc biệt mà ứng dụng mới có trong siêu dữ liệu của nó, vì vậy họ có thể đưa ra quyết định sáng suốt về việc có cho phép cài đặt hay không.

Khi khôi phục một quyền ứng dụng để hiển thị cho người dùng, giao diện đồ họa tiếp tục chịu trách nhiệm lọc hoặc thoát bất kỳ ký tự nào chúng có ý nghĩa đặc biệt đối với các thư viện GUI của bạn.

Về phần từ mô tả lỗ hổngHọ chia sẻ những điều sau đây với chúng tôi:

• CVE-2023-28100: khả năng sao chép và dán văn bản vào bộ đệm đầu vào của bảng điều khiển ảo thông qua thao tác ioctl TIOCLINUX khi cài đặt gói Flatpak do kẻ tấn công tạo ra. Ví dụ: lỗ hổng bảo mật có thể được sử dụng để khởi chạy các lệnh console tùy ý sau khi quá trình cài đặt gói của bên thứ ba hoàn tất. Sự cố chỉ xuất hiện trong bảng điều khiển ảo cổ điển (/dev/tty1, /dev/tty2, v.v.) và không ảnh hưởng đến các phiên trong xterm, gnome-terminal, Konsole và các thiết bị đầu cuối đồ họa khác. Lỗ hổng này không dành riêng cho flatpak và có thể được sử dụng để tấn công các ứng dụng khác, chẳng hạn như các lỗ hổng tương tự đã được tìm thấy trước đây cho phép thay thế ký tự thông qua giao diện ioctl TIOCSTI trong /bin/ sandbox và snap.
• CVE-2023-28101– Khả năng sử dụng các chuỗi thoát trong danh sách quyền trong siêu dữ liệu gói để ẩn thông tin về các quyền mở rộng được yêu cầu được hiển thị trong thiết bị đầu cuối trong quá trình cài đặt hoặc nâng cấp gói thông qua giao diện dòng lệnh. Kẻ tấn công có thể sử dụng lỗ hổng này để đánh lừa người dùng về các quyền được sử dụng trên gói. Người ta đề cập rằng GUI cho libflatpak, chẳng hạn như Phần mềm Gnome và KDE Plasma Discover, không bị ảnh hưởng trực tiếp bởi điều này.

Cuối cùng, người ta đề cập rằng như một giải pháp thay thế, bạn có thể sử dụng GUI như Trung tâm phần mềm Gnome thay vì dòng lệnh
giao diện hoặc bạn cũng nên chỉ cài đặt các ứng dụng của những người bảo trì mà bạn tin tưởng.

Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo chi tiết trong liên kết sau.