Update Flatpak 1.10.2 zur Behebung einer Schwachstelle, die die Sandbox-Isolation gefährdet.

Ein korrektives Update für das Toolkit zur Erstellung von eigenständigen Flatpak-Paketen 1.10.2 ist verfügbar, das eine Schwachstelle (CVE-2021-21381) behoben hat. Diese erlaubt es dem Paketautor, den installierten Sandbox-Isolationsmodus zu umgehen und auf Dateien im Hauptsystem zuzugreifen. Das Problem tritt seit der Version 0.9.4 auf.

Die Schwachstelle wird durch einen Fehler in der Implementierung der Dateiweiterleitungsfunktion verursacht, die es ermöglicht, über Manipulationen an der .desktop-Datei auf Ressourcen im externen Dateisystem zuzugreifen, auf die das ausgeführte Programm keinen Zugriff haben sollte. Wenn Dateien mit den Markierungen «@@» und «@@u» im Exec-Feld hinzugefügt werden, geht Flatpak davon aus, dass die angegebenen Ziel-Dateien ausdrücklich vom Benutzer festgelegt wurden, und gewährt automatisch Zugriff auf diese Dateien in der Sandbox. Diese Schwachstelle kann von Autoren bösartiger Pakete ausgenutzt werden, um Zugriff auf externe Dateien zu erhalten, obwohl die Ausführung im Isolationsmodus erfolgt.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster