Flatpak 1.10.2 -työkalupakkiin, jolla voi luoda itsenäisiä paketteja, on nyt saatavilla korjaava päivitys. Se korjaa haavoittuvuuden (CVE-2021-21381), jonka avulla sovelluspaketin tekijä voi ohittaa hiekkalaatikon eristämisen ja käyttää isäntäjärjestelmän tiedostoja. Ongelma on ollut olemassa versiosta 0.9.4 lähtien.
Haavoittuvuuden aiheuttaa tiedostojen edelleenlähetystoiminnon virhe, joka sallii .desktop-tiedoston käsittelyn ja siten sellaisten ulkoisen tiedostojärjestelmän resurssien käytön, joihin käynnissä olevalla sovelluksella ei ole pääsyä. Kun flatpak lisää Exec-kenttään tiedostoja, joissa on "@@"- ja "@@u"-tunnisteet, se olettaa, että käyttäjä on nimenomaisesti määrittänyt määritetyt kohdetiedostot, ja välittää näiden tiedostojen käytön automaattisesti hiekkalaatikkotilaan. Haitalliset pakettien tekijät voivat hyödyntää tätä haavoittuvuutta ulkoisten tiedostojen käyttämiseen, vaikka näyttää siltä, että sovellus toimii hiekkalaatikkotilassa.
Lähde: opennet.ru
