Korjaava päivitys työkalupakkiin itsenäisten pakettien luomista varten on saatavilla Flatpak 1.10.2, joka poistaa haavoittuvuuden (CVE-2021-21381), jonka avulla sovelluksen sisältävän paketin tekijä voi ohittaa hiekkalaatikon eristystilan ja päästä tiedostot pääjärjestelmässä. Ongelma on ilmennyt julkaisusta 0.9.4 lähtien.
Haavoittuvuus johtuu virheestä tiedoston edelleenlähetystoiminnon toteutuksessa, mikä mahdollistaa .desktop-tiedoston manipuloinnin kautta pääsyn ulkoisen tiedostojärjestelmän resursseihin, joihin käynnissä oleva sovellus ei pääse käsiksi. Kun lisäät tiedostoja, joissa on tunnisteet "@@" ja "@@u" Exec-kenttään, flatpak olettaa, että käyttäjä on nimenomaisesti määrittänyt määritetyt kohdetiedostot, ja antaa automaattisesti pääsyn näihin tiedostoihin. Haavoittuvuuden avulla haitallisten pakettien tekijät voivat järjestää pääsyn ulkoisiin tiedostoihin, vaikka se näyttäisi toimivan eristyksissä.
Lähde: opennet.ru