ОбновлСниС Flatpak с устранСниСм Π΄Π²ΡƒΡ… уязвимостСй

Доступны ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ обновлСния инструмСнтарии для создания самодостаточных ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Flatpak 1.14.4, 1.12.8, 1.10.8 ΠΈ 1.15.4 Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСны Π΄Π²Π΅ уязвимости:

  • CVE-2023-28100 — Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ копирования ΠΈ подстановки тСкста Π² Π±ΡƒΡ„Π΅Ρ€ Π²Π²ΠΎΠ΄Π° Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ консоли Ρ‡Π΅Ρ€Π΅Π· манипуляции с ioctl TIOCLINUX ΠΏΡ€ΠΈ установкС ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½Π½ΠΎΠ³ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ flatpak-ΠΏΠ°ΠΊΠ΅Ρ‚Π°. НапримСр, ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ запуска ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹Ρ… ΠΊΠΎΠΌΠ°Π½Π΄ Π² консоли послС Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ процСсса установки стороннСго ΠΏΠ°ΠΊΠ΅Ρ‚Π°. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° проявляСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² классичСской Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ консоли (/dev/tty1, /dev/tty2 ΠΈ Ρ‚.ΠΏ.) ΠΈ Π½Π΅ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ сСансы Π² xterm, gnome-terminal, Konsole ΠΈ ΠΏΡ€ΠΎΡ‡ΠΈΡ… графичСских Ρ‚Π΅Ρ€ΠΌΠΈΠ½Π°Π»Π°Ρ…. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½Π΅ спСцифична для flatpak ΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для Π°Ρ‚Π°ΠΊΠΈ Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ прилоТСния, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ€Π°Π½Π΅Π΅ ΠΏΠΎΡ…ΠΎΠΆΠΈΠ΅ уязвимости, позволявшиС Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ подстановку символов Ρ‡Π΅Ρ€Π΅Π· ioctl-интСрфСйс TIOCSTI, Π½Π°Ρ…ΠΎΠ΄ΠΈΠ»ΠΈ Π² /bin/sandbox ΠΈ snap.
  • CVE-2023-28101 — Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ использования escape-ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚Π΅ΠΉ Π² спискС ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ Π² ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠ°ΠΊΠ΅Ρ‚Π° для скрытия Π²Ρ‹Π²ΠΎΠ΄ΠΈΠΌΠΎΠΉ Π² Ρ‚Π΅Ρ€ΠΌΠΈΠ½Π°Π» ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ Π·Π°ΠΏΡ€Π°ΡˆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Ρ… полномочиях Π²ΠΎ врСмя установки ΠΈΠ»ΠΈ обновлСния ΠΏΠ°ΠΊΠ΅Ρ‚Π° Ρ‡Π΅Ρ€Π΅Π· интСрфСйс ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π΄Π°Π½Π½ΠΎΠΉ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ для ввСдСния ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π² ΠΏΠ°ΠΊΠ΅Ρ‚Π΅ полномочиях. ГрафичСскиС интСрфСйсы для установки ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Flatpak, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ GNOME Software ΠΈ KDE Plasma Discover, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ