如果被利用,這些漏洞可能允許攻擊者未經授權訪問敏感信息或通常會導致問題
最近是 已發布更正更新 工具包的 Flatpak 對於不同的版本 1.14.4、1.12.8、1.10.8 和 1.15.4,它們已經可用並解決了兩個漏洞。
對於不熟悉 Flatpak 的人,你應該知道這個 使應用程序開發人員可以簡化其程序的分發 通過準備一個通用容器而不為每個分發創建單獨的構建,不包含在常規分發存儲庫中。
對於有安全意識的用戶,Flatpak 允許有問題的應用程序在容器中運行, 僅授予對與應用程序關聯的網絡功能和用戶文件的訪問權限。 對於對新功能感興趣的用戶,Flatpak 允許他們安裝最新的測試和穩定版本的應用程序,而無需對系統進行更改。
Flatpak 和 Snap 的主要區別在於 Snap 使用主要的系統環境組件和基於系統調用過濾的隔離,而 Flatpak 創建了一個單獨的系統容器並與大型運行時套件一起運行,提供典型的包而不是包作為依賴項。
關於 Flatpak 中檢測到的錯誤
在這些新的安全更新中, 給出了兩個檢測到的錯誤的解決方案,其中一個由 Ryan Gonzalez (CVE-2023-28101) 發現,Flatpak 應用程序的惡意維護者可以通過請求包含 ANSI 終端控制代碼或其他不可打印字符的權限來操縱或隱藏此權限顯示。
這在 Flatpak 1.14.4、1.15.4、1.12.8 和 1.10.8 中已通過顯示轉義的非打印字符(\xXX、\uXXXX、\UXXXXXXXXXX)得到修復,因此它們不會改變終端行為,並且還通過嘗試某些上下文中的不可打印字符無效(不允許)。
使用 flatpak CLI 安裝或更新 Flatpak 應用程序時,通常會向用戶顯示新應用程序在其元數據中具有的特殊權限,因此他們可以就是否允許其安裝做出一些明智的決定。
當恢復一個 應用權限顯示給用戶,圖形界面繼續 負責過濾或轉義任何字符 它們對您的 GUI 庫具有特殊意義。
對於部分 從漏洞描述來看他們與我們分享以下內容:
- CVE-2023-28100: 在安裝攻擊者製作的 Flatpak 軟件包時,能夠通過 TIOCLINUX ioctl 操作將文本複制並粘貼到虛擬控制台輸入緩衝區中。 例如,該漏洞可用於在第三方包的安裝過程完成後暫存任意控制台命令的啟動。 該問題僅出現在經典虛擬控制台(/dev/tty1、/dev/tty2 等)中,不影響 xterm、gnome-terminal、Konsole 和其他圖形終端中的會話。 該漏洞並非flatpak特有,可用於攻擊其他應用程序,例如之前發現的類似漏洞允許通過/bin/沙箱和snap中的TIOCSTI ioctl接口進行字符替換。
- CVE-2023,28101– 能夠在包元數據的權限列表中使用轉義序列來隱藏有關在包安裝或通過命令行界面升級期間顯示在終端中的請求的擴展權限的信息。 攻擊者可以利用此漏洞欺騙用戶有關程序包使用的權限。 提到 libflatpak 的 GUI,例如 GNOME Software 和 KDE Plasma Discover,不會直接受此影響。
最後,提到作為一種解決方法,您可以使用 GNOME 軟件中心之類的 GUI 而不是命令行
界面,或者還建議只安裝您信任其維護者的應用程序。
如果您有興趣了解更多,可以諮詢 以下鏈接中提供了詳細信息。