দুটি দুর্বলতা ঠিক করতে ফ্ল্যাটপ্যাক আপডেট

টুলকিটে সংশোধনমূলক আপডেটগুলি স্বয়ংসম্পূর্ণ ফ্ল্যাটপ্যাক প্যাকেজ 1.14.4, 1.12.8, 1.10.8 এবং 1.15.4 তৈরি করতে উপলব্ধ, যা দুটি দুর্বলতা ঠিক করে:

• CVE-2023-28100 - আক্রমণকারী দ্বারা প্রস্তুত একটি ফ্ল্যাটপ্যাক প্যাকেজ ইনস্টল করার সময় TIOCLINUX ioctl-এর ম্যানিপুলেশনের মাধ্যমে ভার্চুয়াল কনসোল ইনপুট বাফারে টেক্সট কপি এবং প্রতিস্থাপন করার ক্ষমতা। উদাহরণস্বরূপ, একটি তৃতীয় পক্ষের প্যাকেজের ইনস্টলেশন প্রক্রিয়া সম্পন্ন হওয়ার পরে কনসোলে নির্বিচারে কমান্ড চালু করতে দুর্বলতা ব্যবহার করা যেতে পারে। সমস্যাটি শুধুমাত্র ক্লাসিক ভার্চুয়াল কনসোলে (/dev/tty1, /dev/tty2, ইত্যাদি) দেখা যায় এবং xterm, gnome-terminal, Konsole এবং অন্যান্য গ্রাফিক্যাল টার্মিনালের সেশনগুলিকে প্রভাবিত করে না। দুর্বলতা ফ্ল্যাটপ্যাকের জন্য নির্দিষ্ট নয় এবং অন্যান্য অ্যাপ্লিকেশন আক্রমণ করতে ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, পূর্বে অনুরূপ দুর্বলতা যা TIOCSTI ioctl ইন্টারফেসের মাধ্যমে অক্ষর প্রতিস্থাপনের অনুমতি দিয়েছিল /bin/sandbox এবং snap-এ পাওয়া গেছে।
• CVE-2023-28101 - কমান্ড লাইন ইন্টারফেসের মাধ্যমে ইনস্টলেশন বা প্যাকেজ আপডেট করার সময় অনুরোধ করা বর্ধিত অনুমতি সম্পর্কে টার্মিনাল আউটপুট তথ্য লুকানোর জন্য প্যাকেজ মেটাডেটার অনুমতিগুলির একটি তালিকায় এস্কেপ সিকোয়েন্স ব্যবহার করা সম্ভব। আক্রমণকারীরা প্যাকেজে ব্যবহৃত শংসাপত্র সম্পর্কে ব্যবহারকারীদের বিভ্রান্ত করার জন্য এই দুর্বলতাকে কাজে লাগাতে পারে। ফ্ল্যাটপ্যাক প্যাকেজ ইনস্টল করার জন্য GUI, যেমন GNOME সফ্টওয়্যার এবং KDE প্লাজমা আবিষ্কার, এই সমস্যা দ্বারা প্রভাবিত হয় না।

উত্স: opennet.ru