Ti o ba ti lo nilokulo, awọn abawọn wọnyi le gba awọn ikọlu laaye lati ni iraye si laigba aṣẹ si alaye ifura tabi fa awọn iṣoro ni gbogbogbo
laipe wà awọn imudojuiwọn atunṣe ti tu silẹ ti ohun elo irinṣẹ Flatpak fun awọn ẹya oriṣiriṣi 1.14.4, 1.12.8, 1.10.8 ati 1.15.4, eyiti o wa tẹlẹ ati eyiti o yanju awọn ailagbara meji.
Fun awọn ti ko mọ Flatpak, o yẹ ki o mọ pe eyi jẹ ki o ṣee ṣe fun awọn olupolowo ohun elo lati jẹ ki pinpin awọn eto wọn rọrun ti ko si ninu awọn ibi ipamọ pinpin deede nipa ṣiṣeradi eiyan gbogbo agbaye laisi ṣiṣẹda awọn kikọ lọtọ fun pinpin kọọkan.
Fun awọn olumulo mimọ-aabo, Flatpak ngbanilaaye ohun elo ibeere lati ṣiṣẹ ninu apoti kan, fifun ni iraye si awọn iṣẹ nẹtiwọọki nikan ati awọn faili olumulo ti o ni nkan ṣe pẹlu ohun elo naa. Fun awọn olumulo ti o nifẹ si kini tuntun, Flatpak gba wọn laaye lati fi idanwo tuntun sori ẹrọ ati awọn ẹya iduroṣinṣin ti awọn ohun elo laisi nini lati ṣe awọn ayipada si eto naa.
Iyatọ bọtini laarin Flatpak ati Snap ni pe Snap nlo awọn paati agbegbe eto akọkọ ati ipinya ti o da lori sisẹ ipe eto, lakoko ti Flatpak ṣẹda eiyan eto lọtọ ati ṣiṣẹ pẹlu awọn suites akoko asiko nla, pese awọn idii aṣoju dipo awọn idii bi awọn igbẹkẹle.
Nipa awọn idun ti a rii ni Flatpak
Ninu awọn imudojuiwọn aabo tuntun wọnyi, ojutu naa ni a fun ni awọn aṣiṣe meji ti a rii, ọkan ninu eyiti a ṣe awari nipasẹ Ryan Gonzalez (CVE-2023-28101) ṣe awari pe awọn olutọju irira ti ohun elo Flatpak le ṣe afọwọyi tabi tọju ifihan igbanilaaye yii nipa ibeere awọn igbanilaaye ti o pẹlu awọn koodu iṣakoso ebute ANSI tabi awọn ohun kikọ miiran ti kii ṣe titẹ.
Eyi jẹ ti o wa titi ni Flatpak 1.14.4, 1.15.4, 1.12.8 ati 1.10.8 nipa fifihan awọn kikọ ti kii ṣe titẹ sita (\xXX, \ uXXXX, \ UXXXXXXXXX) nitorina wọn ko paarọ ihuwasi ipari, ati paapaa nipasẹ igbiyanju awọn ohun kikọ ti kii ṣe titẹ sita ni awọn ọrọ-ọrọ kan bi aifẹ (ko gba laaye).
Nigbati o ba nfi sori ẹrọ tabi ṣe imudojuiwọn ohun elo Flatpak kan nipa lilo flatpak CLI, olumulo nigbagbogbo ṣafihan awọn igbanilaaye pataki ti ohun elo tuntun ni ninu metadata rẹ, nitorinaa wọn le ṣe ipinnu alaye diẹ nipa boya lati gba fifi sori rẹ laaye.
Nigbati o ba n bọlọwọ a awọn igbanilaaye ohun elo lati ṣafihan si olumulo, wiwo ayaworan tẹsiwaju jije lodidi fun sisẹ tabi sa eyikeyi ohun kikọ ti o wọn ni itumọ pataki si awọn ile-ikawe GUI rẹ.
Fun apakan lati awọn apejuwe ti vulnerabilitiesWọn pin nkan wọnyi pẹlu wa:
- CVE-2023-28100: Gbogbo online iṣẹ. agbara lati daakọ ati lẹẹ ọrọ mọ sinu ifipamọ titẹ sii console foju nipasẹ ifọwọyi TIOCLINUX ioctl nigbati o nfi idii Flatpak ti a ṣe ikọlu sori ẹrọ. Fun apẹẹrẹ, ailagbara naa le ṣee lo lati ṣe ifilọlẹ ti awọn aṣẹ console lainidii lẹhin ilana fifi sori ẹrọ ti package ẹnikẹta kan ti pari. Iṣoro naa han nikan ni console foju Ayebaye (/ dev/tty1, / dev/tty2, ati bẹbẹ lọ) ati pe ko kan awọn akoko ni xterm, gnome-terminal, Konsole ati awọn ebute ayaworan miiran. Ailagbara naa kii ṣe pato si flatpak ati pe o le ṣee lo lati kọlu awọn ohun elo miiran, fun apẹẹrẹ, awọn ailagbara ti o jọra ni a ti rii tẹlẹ ti o gba laaye aropo ohun kikọ nipasẹ wiwo TIOCSTI ioctl ninu apoti iyanrin / bin/ ati imolara.
- CVE-2023-28101- Agbara lati lo awọn ọna abayo ninu atokọ awọn igbanilaaye ninu metadata package lati tọju alaye nipa awọn igbanilaaye ti o gbooro ti o han ni ebute lakoko fifi sori ẹrọ tabi igbesoke nipasẹ wiwo laini aṣẹ. Olukọni le lo ailagbara yii lati tan awọn olumulo nipa awọn igbanilaaye ti a lo lori package. O mẹnuba pe awọn GUI fun libflatpak, gẹgẹbi GNOME Software ati KDE Plasma Discover, ko ni ipa taara nipasẹ eyi.
Ni ipari, o mẹnuba pe bi iṣẹ-ṣiṣe o le lo GUI kan bii Ile-iṣẹ sọfitiwia GNOME dipo laini aṣẹ
ni wiwo, tabi o tun ṣe iṣeduro lati fi sori ẹrọ awọn ohun elo nikan ti awọn olutọju ti o gbẹkẹle.
Ti o ba nifẹ lati mọ diẹ sii nipa rẹ, o le kan si awọn awọn alaye ninu ọna asopọ atẹle.
Jẹ akọkọ lati sọ ọrọ