Leiðréttingaruppfærslur á verkfærakistunni eru fáanlegar til að búa til sjálfstætt Flatpak pakka 1.14.4, 1.12.8, 1.10.8 og 1.15.4, sem laga tvo veikleika:
- CVE-2023-28100 - hæfileikinn til að afrita og skipta út texta í innsláttarbuffi sýndarborðsins með því að nota TIOCLINUX ioctl þegar þú setur upp flatpakka sem útbúinn er af árásarmanni. Til dæmis gæti varnarleysið verið notað til að ræsa handahófskenndar skipanir í stjórnborðinu eftir að uppsetningarferli þriðja aðila pakka er lokið. Vandamálið birtist aðeins í klassísku sýndarborðinu (/dev/tty1, /dev/tty2, o.s.frv.) og hefur ekki áhrif á lotur í xterm, gnome-terminal, Konsole og öðrum grafískum útstöðvum. Veikleikinn er ekki sérstakur fyrir flatpak og hægt er að nota hann til að ráðast á önnur forrit, til dæmis fundust áður svipaðir veikleikar sem leyfðu stafiskipti í gegnum TIOCSTI ioctl viðmótið í /bin/sandbox og snap.
- CVE-2023-28101 - Það er hægt að nota undankomuraðir í lista yfir heimildir í lýsigögnum pakka til að fela úttaksupplýsingar flugstöðvar um umbeðnar auknar heimildir við uppsetningu eða uppfærslu pakka í gegnum skipanalínuviðmótið. Árásarmenn gætu nýtt sér þennan varnarleysi til að villa um fyrir notendum um skilríkin sem notuð eru í pakkanum. GUI til að setja upp Flatpak pakka, eins og GNOME hugbúnað og KDE Plasma Discover, verða ekki fyrir áhrifum af þessu vandamáli.
Heimild: opennet.ru