Flatpak 1.10.2 pakete autonomoak sortzeko tresna-kitaren eguneratze zuzentzailea eskuragarri dago, eta horrek ahultasun bat (CVE-2021-21381) ezabatzen du, aplikazio bat duen pakete baten egileari sandbox isolamendu modua saihestu eta sarbidea lortzeko aukera ematen diona. sistema nagusiko fitxategiak. Arazoa 0.9.4 bertsiotik agertzen ari da.
Zaurgarritasuna fitxategiak birbidaltzeko funtzioaren inplementazioan akats batek eragiten du, eta horri esker, .desktop fitxategi baten manipulazioaren bidez, exekutatzen ari den aplikazioak atzitzea debekatuta dagoen kanpoko fitxategi-sistema bateko baliabideak atzitzea posible da. Exec eremuan "@@" eta "@@u" etiketak dituzten fitxategiak gehitzean, flatpak-ek bere gain hartuko du zehaztutako xede-fitxategiak erabiltzaileak esplizituki zehaztu zituela eta automatikoki sandbox-a sartuko du fitxategi horietara. Ahultasuna pakete gaiztoen egileek kanpoko fitxategietarako sarbidea antolatzeko erabil dezakete, isolamendu moduan exekutatzen ari den arren.
Iturria: opennet.ru