如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
最近是 已发布更正更新 工具包的 Flatpak 对于不同的版本 1.14.4、1.12.8、1.10.8 和 1.15.4,它们已经可用并解决了两个漏洞。
对于那些不熟悉 Flatpak 的人,你应该知道这个 使应用程序开发人员可以简化其程序的分发 通过准备通用容器而不为每个分发创建单独的构建,这些不包含在常规分发存储库中。
对于有安全意识的用户,Flatpak 允许有问题的应用程序在容器中运行, 仅授予对与应用程序关联的网络功能和用户文件的访问权限。 对于对新功能感兴趣的用户,Flatpak 允许他们安装最新的测试和稳定版本的应用程序,而无需对系统进行更改。
Flatpak 和 Snap 的主要区别在于 Snap 使用主要的系统环境组件和基于系统调用过滤的隔离,而 Flatpak 创建一个单独的系统容器并使用大型运行时程序集进行操作,提供典型的包而不是包作为依赖项。
关于 Flatpak 中检测到的错误
在这些新的安全更新中, 给出了两个检测到的错误的解决方案,其中一个由 Ryan Gonzalez (CVE-2023-28101) 发现,Flatpak 应用程序的恶意维护者可以通过请求包含 ANSI 终端控制代码或其他不可打印字符的权限来操纵或隐藏此权限显示。
这在 Flatpak 1.14.4、1.15.4、1.12.8 和 1.10.8 中已通过显示转义的非打印字符(\xXX、\uXXXX、\UXXXXXXXXXX)得到修复,因此它们不会改变终端行为,并且还通过尝试某些上下文中的不可打印字符无效(不允许)。
使用 flatpak CLI 安装或更新 Flatpak 应用程序时,通常会向用户显示新应用程序在其元数据中具有的特殊权限,因此他们可以就是否允许其安装做出一些明智的决定。
当恢复一个 应用权限显示给用户,图形界面继续 负责过滤或转义任何字符 它们对您的 GUI 库具有特殊意义。
对于部分 从漏洞描述来看他们与我们分享以下内容:
- CVE-2023-28100: 在安装攻击者制作的 Flatpak 软件包时,能够通过 TIOCLINUX ioctl 操作将文本复制并粘贴到虚拟控制台输入缓冲区。 例如,该漏洞可用于在第三方包的安装过程完成后暂存任意控制台命令的启动。 该问题仅出现在经典虚拟控制台(/dev/tty1、/dev/tty2 等)中,不影响 xterm、gnome-terminal、Konsole 和其他图形终端中的会话。 该漏洞并非flatpak特有,可用于攻击其他应用程序,例如之前发现的类似漏洞允许通过/bin/沙箱和snap中的TIOCSTI ioctl接口进行字符替换。
- CVE-2023-28101– 能够在包元数据的权限列表中使用转义序列来隐藏有关在包安装或通过命令行界面升级期间显示在终端中的请求的扩展权限的信息。 攻击者可以利用此漏洞欺骗用户有关程序包使用的权限。 提到 libflatpak 的 GUI,例如 GNOME Software 和 KDE Plasma Discover,不会直接受此影响。
最后,提到作为一种解决方法,您可以使用 GNOME 软件中心之类的 GUI 而不是命令行
界面,或者还建议只安装您信任其维护者的应用程序。
如果您有兴趣了解更多,可以咨询 以下链接中提供了详细信息。