עדכון Flatpak לתיקון שתי נקודות תורפה

זמינים עדכונים מתקינים לערכת הכלים של Flatpak 1.14.4, 1.12.8, 1.10.8 ו-1.15.4, המתקנים שתי נקודות תורפה:

• CVE-2023-28100 - יכולת להעתיק ולהדביק טקסט במאגר הקלט של המסוף הווירטואלי באמצעות מניפולציה של TIOCLINUX ioctl בעת התקנת חבילת flatpak שהוכנה לתוקף. לדוגמה, ניתן להשתמש בפגיעות כדי לארגן את ההשקה של פקודות שרירותיות במסוף לאחר השלמת תהליך ההתקנה של חבילת צד שלישי. הבעיה מופיעה רק בקונסולה הוירטואלית הקלאסית (/dev/tty1, /dev/tty2 וכו') ואינה משפיעה על הפעלות ב-xterm, gnome-terminal, Konsole ובטרמינלים גרפיים אחרים. הפגיעות אינה ספציפית ל-flatpak וניתן להשתמש בה כדי לתקוף יישומים אחרים, למשל, פגיעויות דומות בעבר שאפשרו החלפת תווים דרך ממשק TIOCSTI ioctl נמצאו ב-/bin/sandbox ו-snap.
• CVE-2023-28101 - יכולת להשתמש ברצפי בריחה ברשימת ההרשאות במטא נתונים של החבילה כדי להסתיר את המידע המוצג בטרמינל לגבי ההרשאות המורחבות המבוקשות במהלך ההתקנה או השדרוג של החבילה דרך ממשק שורת הפקודה. תוקף עלול להשתמש בפגיעות זו כדי להטעות משתמשים לגבי ההרשאות המשמשות בחבילה. ממשקים גרפיים להתקנת חבילות Flatpak, כגון תוכנת GNOME ו-KDE Plasma Discover, אינם מושפעים.

מקור: OpenNet.ru