Sono disponibili aggiornamenti correttivi al toolkit per creare pacchetti Flatpak autonomi 1.14.4, 1.12.8, 1.10.8 e 1.15.4, che risolvono due vulnerabilità:
- CVE-2023-28100 - la capacità di copiare e sostituire il testo nel buffer di input della console virtuale attraverso la manipolazione dell'ioctl TIOCLINUX durante l'installazione di un pacchetto flatpak preparato da un utente malintenzionato. Ad esempio, la vulnerabilità potrebbe essere utilizzata per avviare comandi arbitrari nella console una volta completato il processo di installazione di un pacchetto di terze parti. Il problema si presenta solo nella classica console virtuale (/dev/tty1, /dev/tty2, ecc.) e non riguarda le sessioni in xterm, gnome-terminal, Konsole e altri terminali grafici. La vulnerabilità non è specifica di flatpak e può essere utilizzata per attaccare altre applicazioni, ad esempio, vulnerabilità simili precedentemente che consentivano la sostituzione dei caratteri tramite l'interfaccia ioctl TIOCSTI sono state trovate in /bin/sandbox e snap.
- CVE-2023-28101 - È possibile utilizzare sequenze di escape in un elenco di autorizzazioni nei metadati del pacchetto per nascondere le informazioni di output del terminale sulle autorizzazioni estese richieste durante l'installazione o l'aggiornamento di un pacchetto tramite l'interfaccia della riga di comando. Gli aggressori potrebbero sfruttare questa vulnerabilità per ingannare gli utenti riguardo alle credenziali utilizzate nel pacchetto. Le GUI per l'installazione dei pacchetti Flatpak, come GNOME Software e KDE Plasma Discover, non sono interessate da questo problema.
Fonte: opennet.ru