In korrigearjende fernijing foar de toolkit foar it meitsjen fan selsstannige pakketten Flatpak 1.10.2 is beskikber, dy't in kwetsberens elimineert (CVE-2021-21381) wêrtroch de auteur fan in pakket mei in applikaasje de sânbox-isolaasjemodus kin omgean en tagong krije ta bestannen op it haadsysteem. It probleem is ferskynde sûnt release 0.9.4.
De kwetsberens wurdt feroarsake troch in flater yn 'e ymplemintaasje fan' e trochstjoerfunksje fan bestân, dy't it mooglik makket, troch manipulaasje fan in .desktop-bestân, tagong te krijen ta boarnen yn in ekstern bestânsysteem dy't ferbean binne om tagong te krijen troch de rinnende applikaasje. By it tafoegjen fan bestannen mei de tags "@@" en "@@u" yn it Exec-fjild, sil flatpak der fanút gean dat de oantsjutte doeltriemmen eksplisyt oantsjutte binne troch de brûker en sil automatysk tagong krije ta dizze bestannen. De kwetsberens kin brûkt wurde troch de auteurs fan kweade pakketten om tagong ta eksterne bestannen te organisearjen, nettsjinsteande it uterlik fan it rinnen yn isolaasjemodus.
Boarne: opennet.ru