Mizajou korektif nan bwat zouti a disponib pou kreye pakè Flatpak endepandan 1.14.4, 1.12.8, 1.10.8 ak 1.15.4, ki ranje de frajilite:
- CVE-2023-28100 - Kapasite pou kopye ak ranplase tèks nan tanpon antre konsole vityèl la atravè manipilasyon TIOCLINUX ioctl la lè w ap enstale yon pake flatpak ki prepare pa yon atakè. Pou egzanp, vilnerabilite a ta ka itilize pou lanse kòmandman abitrè nan konsole a apre pwosesis enstalasyon yon pake twazyèm pati fini. Pwoblèm nan parèt sèlman nan konsole vityèl klasik la (/dev/tty1, /dev/tty2, elatriye) epi li pa afekte sesyon yo nan xterm, gnome-terminal, Konsole ak lòt tèminal grafik. Vilnerabilite a pa espesifik nan flatpak epi yo ka itilize pou atake lòt aplikasyon, pou egzanp, vilnerabilite deja menm jan an ki te pèmèt sibstitisyon karaktè atravè koòdone TIOCSTI ioctl yo te jwenn nan /bin/sandbox ak menen.
- CVE-2023-28101 - Li posib pou itilize sekans chape nan yon lis otorizasyon nan metadata pake a pou kache enfòmasyon sou pwodiksyon tèminal yo sou pèmisyon pwolonje yo mande pandan enstalasyon oswa aktyalizasyon yon pake atravè koòdone liy lòd la. Atakè yo ka eksplwate vilnerabilite sa a pou twonpe itilizatè yo sou kalifikasyon yo itilize nan pake a. GUI pou enstale pakè Flatpak, tankou GNOME Software ak KDE Plasma Discover, pa afekte pa pwoblèm sa a.
Sous: opennet.ru