A versione di a patch di Flatpak 1.16.4, publicata qualchì ora fà, inseme cù a versione sperimentale 1.17.4, corregge una vulnerabilità (CVE-2026-34078) chì permette à una applicazione Flatpak maliziosa o compromessa di bypassà l'isolamentu sandbox, accede à i fugliali nantu à u sistema host è eseguisce codice arbitrariu fora di l'isolamentu sandbox. Stu prublema hè statu valutatu cum'è criticu (9.3 su 10).
A vulnerabilità esiste in u serviziu D-Bus flatpak-portal, chì lancia "portali" utilizati per accede à e risorse in l'ambiente principale da applicazioni sandboxed. U prublema hè causatu da flatpak-portal chì permette à l'applicazioni di specificà percorsi di file in l'opzione sandbox-expose. A causa di a mancanza di cuntrolli adatti, questi percorsi puderanu esse ligami simbolichi chì puntanu à parti arbitrarie di u sistema di file.
Prima di u muntamentu, u serviziu espande u ligame simbolicu è munta u percorsu à u quale punta in l'ambiente sandbox, chì vi permette di saltà l'isolamentu è di ottene accessu di lettura è scrittura à i fugliali in l'ambiente host. Per eseguisce u vostru codice in u sistema, pudete, per esempiu, aghjunghje un script autorun cum'è "~/.bashrc" o ~/.profile, o mudificà u fugliale ~/.ssh/authorized_keys cù e vostre chjave SSH.
U statu di a currezzione di vulnerabilità per e distribuzioni pò esse valutatu nantu à queste pagine (sè a pagina ùn hè micca dispunibile, significa chì i sviluppatori di a distribuzione ùn anu ancu cuminciatu à investigà u prublema): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora. Cum'è una suluzione, pudete disattivà u serviziu flatpak-portal: sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service
In più di a vulnerabilità critica, a nova versione affronta trè altri prublemi di sicurezza:
- Una vulnerabilità di cancellazione arbitraria di file (CVE-2026-34079) esiste in u sistema di file host. Stu prublema hè causatu da flatpak chì ùn verifica micca chì u file chì hè eliminatu si trova in realtà in u cartulare di a cache quandu si svuota a cache ld.so obsoleta.
- Capacità di leghje fugliali arbitrarii in u cuntestu di l'aiutu di u sistema nantu à i sistemi cù un repositoriu d'imagine OCI cunfiguratu via a manipulazione di ligami simbolichi.
- A capacità d'interferisce cù u trattamentu di e richieste d'annullamentu di scaricamentu di l'applicazione, chì permette à un utilizatore d'impedisce à un altru utilizatore di fermà un scaricamentu.
Source: opennet.ru
