샌드박스 격리 취약점 수정이 포함된 Flatpak 1.10.2 업데이트

자체 포함 패키지 Flatpak 1.10.2를 생성하기 위한 툴킷에 대한 수정 업데이트를 사용할 수 있습니다. 이 업데이트는 애플리케이션이 포함된 패키지 작성자가 샌드박스 격리 모드를 우회하고 다음에 대한 액세스 권한을 얻을 수 있게 하는 취약점(CVE-2021-21381)을 제거합니다. 메인 시스템의 파일. 이 문제는 릴리스 0.9.4부터 나타났습니다.

이 취약점은 .desktop 파일 조작을 통해 실행 중인 애플리케이션에서 접근이 금지된 외부 파일 시스템의 리소스에 접근할 수 있도록 하는 파일 전달 기능 구현 오류로 인해 발생합니다. Exec 필드에 "@@" 및 "@@u" 태그가 있는 파일을 추가할 때 flatpak은 지정된 대상 파일이 사용자에 의해 명시적으로 지정되었다고 가정하고 자동으로 이러한 파일에 대한 샌드박스 액세스를 수행합니다. 이 취약점은 격리 모드에서 실행되는 것처럼 보임에도 불구하고 악성 패키지 작성자가 외부 파일에 대한 액세스를 구성하기 위해 사용할 수 있습니다.

출처 : opennet.ru