Des mises à jour correctives de la boîte à outils sont disponibles pour créer des packages Flatpak autonomes 1.14.4, 1.12.8, 1.10.8 et 1.15.4, qui corrigent deux vulnérabilités :
- CVE-2023-28100 - la possibilité de copier et de remplacer du texte dans le tampon d'entrée de la console virtuelle via la manipulation de l'ioctl TIOCLINUX lors de l'installation d'un package flatpak préparé par un attaquant. Par exemple, la vulnérabilité pourrait être utilisée pour lancer des commandes arbitraires dans la console une fois le processus d'installation d'un package tiers terminé. Le problème n'apparaît que dans la console virtuelle classique (/dev/tty1, /dev/tty2, etc.) et n'affecte pas les sessions dans xterm, gnome-terminal, Konsole et autres terminaux graphiques. La vulnérabilité n'est pas spécifique à flatpak et peut être utilisée pour attaquer d'autres applications. Par exemple, des vulnérabilités similaires qui permettaient la substitution de caractères via l'interface ioctl TIOCSTI ont été trouvées dans /bin/sandbox et snap.
- CVE-2023-28101 - Il est possible d'utiliser des séquences d'échappement dans une liste d'autorisations dans les métadonnées du package pour masquer les informations de sortie du terminal sur les autorisations étendues demandées lors de l'installation ou de la mise à jour d'un package via l'interface de ligne de commande. Les attaquants pourraient exploiter cette vulnérabilité pour induire les utilisateurs en erreur sur les informations d'identification utilisées dans le package. Les interfaces graphiques permettant d'installer les packages Flatpak, tels que le logiciel GNOME et KDE Plasma Discover, ne sont pas affectées par ce problème.
Source: opennet.ru