Korrektiewe opdaterings aan die gereedskapstel is beskikbaar om selfstandige Flatpak-pakkette 1.14.4, 1.12.8, 1.10.8 en 1.15.4 te skep, wat twee kwesbaarhede regstel:
- CVE-2023-28100 - die vermoë om teks in die virtuele konsole-invoerbuffer te kopieer en te vervang deur manipulasie van die TIOCLINUX ioctl wanneer 'n platpakpakket wat deur 'n aanvaller voorberei is, geïnstalleer word. Die kwesbaarheid kan byvoorbeeld gebruik word om arbitrêre opdragte in die konsole te begin nadat die installasieproses van 'n derdeparty-pakket voltooi is. Die probleem verskyn slegs in die klassieke virtuele konsole (/dev/tty1, /dev/tty2, ens.) en beïnvloed nie sessies in xterm, gnome-terminal, Konsole en ander grafiese terminale nie. Die kwesbaarheid is nie spesifiek vir flatpak nie en kan gebruik word om ander toepassings aan te val, byvoorbeeld, voorheen soortgelyke kwesbaarhede wat karaktervervanging deur die TIOCSTI ioctl-koppelvlak toegelaat het, is gevind in /bin/sandbox en snap.
- CVE-2023-28101 - Dit is moontlik om ontsnappingsreekse in 'n lys toestemmings in pakketmetadata te gebruik om terminale uitsetinligting oor gevraagde uitgebreide toestemmings te verberg tydens installasie of opdatering van 'n pakket via die opdraglynkoppelvlak. Aanvallers kan hierdie kwesbaarheid uitbuit om gebruikers te mislei oor die geloofsbriewe wat in die pakket gebruik word. GUI's vir die installering van Flatpak-pakkette, soos GNOME-sagteware en KDE Plasma Discover, word nie deur hierdie probleem geraak nie.
Bron: opennet.ru