يتوفر تحديث تصحيحي لأداة التغليف المستقلة Flatpak 1.10.2 والذي يعمل على إصلاح الثغرة الأمنية (CVE-2021-21381) التي قد تسمح لمؤلف الحزمة مع التطبيق بتجاوز إعداد عزل وضع الحماية والوصول إلى الملفات الموجودة على النظام المضيف. لقد ظهرت المشكلة منذ الإصدار 0.9.4.
تنجم الثغرة الأمنية عن خطأ في تنفيذ وظيفة إعادة توجيه الملف، مما يجعل من الممكن، من خلال المعالجة بملف .desktop، الوصول إلى الموارد الموجودة في نظام الملفات الخارجي والتي لا يسمح للتطبيق قيد التشغيل بالوصول إليها. عند إضافة ملفات ذات علامات "@@" و"@@u" في حقل Exec، ستفترض flatpak أن الملفات المستهدفة المحددة قد تم تحديدها بشكل صريح من قبل المستخدم وستقوم تلقائيًا بإعادة توجيه الوصول إلى هذه الملفات إلى وضع الحماية. يمكن لمؤلفي الحزم الضارة استخدام الثغرة الأمنية لتوفير الوصول إلى الملفات الخارجية، على الرغم من ظهورها وكأنها تعمل في وضع العزل.
المصدر: opennet.ru