Tha ùrachaidhean ceartachaidh air an inneal rim faighinn gus pasganan Flatpak fèin-chumanta 1.14.4, 1.12.8, 1.10.8 agus 1.15.4 a chruthachadh, a shocraicheas dà chugallachd:
- CVE-2023-28100 - an comas teacsa a chopaigeadh agus a chuir a-steach don bhufair cuir a-steach consol brìgheil tro bhith a’ làimhseachadh an ioctl TIOCLINUX nuair a bhios tu a’ stàladh pasgan flatpak air ullachadh le neach-ionnsaigh. Mar eisimpleir, dh’ fhaodadh an so-leòntachd a bhith air a chleachdadh gus òrdughan neo-riaghailteach a chuir air bhog sa chonsail às deidh pròiseas stàlaidh pasgan treas-phàrtaidh a bhith deiseil. Chan eil an duilgheadas a’ nochdadh ach anns a’ chonsal brìgheil clasaigeach (/ dev/tty1, /dev/tty2, etc.) agus chan eil buaidh aige air seiseanan ann an xterm, gnome-terminal, Konsole agus cinn-uidhe grafaigeach eile. Chan eil an so-leòntachd sònraichte do flatpak agus faodar a chleachdadh gus ionnsaigh a thoirt air tagraidhean eile, mar eisimpleir, chaidh so-leòntachd a bha coltach roimhe a leig le caractar a chuir an àite tro eadar-aghaidh TIOCSTI ioctl a lorg ann an / bin / bogsa gainmhich agus snap.
- CVE-2023-28101 - Tha e comasach sreathan teiche a chleachdadh ann an liosta de cheadan ann am meata-dàta pacaid gus fiosrachadh toraidh crìochnachaidh fhalach mu cheadan leudaichte a chaidh iarraidh rè stàladh no ùrachadh pasgan tron eadar-aghaidh loidhne-àithne. Dh’ fhaodadh luchd-ionnsaigh brath a ghabhail air an so-leòntachd seo gus luchd-cleachdaidh a mhealladh mu na teisteanasan a thathar a’ cleachdadh sa phacaid. Chan eil a’ chùis seo a’ toirt buaidh air GUIs airson pacaidean Flatpak a chuir a-steach, leithid GNOME Software agus KDE Plasma Discover.
Source: fosgailtenet.ru