Saadaval on parandusvärskendus iseseisvate pakettide loomise tööriistakomplektile Flatpak 1.10.2, mis kõrvaldab haavatavuse (CVE-2021-21381), mis võimaldab rakendusega paketi autoril liivakasti isolatsioonirežiimist mööda minna ja pääseda juurde failid põhisüsteemis. Probleem on ilmnenud alates versioonist 0.9.4.
Haavatavuse põhjuseks on viga failiedastusfunktsiooni juurutamisel, mis võimaldab .desktop-failiga manipuleerimise kaudu pääseda juurde välise failisüsteemi ressurssidele, millele töötav rakendus ei pääse juurde. Kui lisate väljale Exec märgenditega "@@" ja "@@u" faile, eeldab flatpak, et määratud sihtfailid on kasutaja selgesõnaliselt määratlenud, ja loob nendele failidele automaatselt liivakasti juurdepääsu. Seda haavatavust saavad pahatahtlike pakettide autorid kasutada välistele failidele juurdepääsu korraldamiseks, hoolimata sellest, et see töötab isoleeritud režiimis.
Allikas: opennet.ru