Nûvekirinên rastker ên amûrê hene ku ji bo afirandina pakêtên Flatpak-ê yên xweser 1.14.4, 1.12.8, 1.10.8 û 1.15.4 hene, ku du qelsiyan rast dikin:
- CVE-2023-28100 - şiyana kopîkirin û guheztina nivîsê di nav tampona têketina konsolê ya virtual de bi manîpulekirina TIOCLINUX ioctl dema ku pakêtek flatpak ku ji hêla êrîşkar ve hatî amadekirin saz dike. Mînakî, lawazbûn dikare were bikar anîn ji bo destpêkirina fermanên kêfî yên di konsolê de piştî ku pêvajoya sazkirinê ya pakêtek sêyemîn qediya. Pirsgirêk tenê di konsola virtual ya klasîk de xuya dibe (/ dev/tty1, / dev/tty2, hwd.) û bandorê li danişînên li xterm, gnome-terminal, Konsole û termînalên din ên grafîkî nake. Zelalbûn ji bo flatpak-ê ne taybetî ye û dikare were bikar anîn da ku êrîşî serîlêdanên din bike, mînakî, qelsiyên berê yên mîna ku dihêlin veguheztina karakterê bi navgîniya navbeynkariya TIOCSTI ioctl ve di /bin/sandbox û snap de hatine dîtin.
- CVE-2023-28101 - Mimkun e ku meriv rêzikên revê di navnîşek destûrnameyên metadata pakêtê de bikar bîne da ku di dema sazkirinê an nûvekirina pakêtê de bi navbeynkariya xeta fermanê agahdariya derana termînalê di derheqê destûrên dirêjkirî yên daxwazkirî de veşêre. Êrîşkar dikarin vê qelsbûnê bi kar bînin da ku bikarhêneran di derheqê pêbaweriyên ku di pakêtê de têne bikar anîn de bixapînin. GUI-yên ji bo sazkirina pakêtên Flatpak, wek Nermalava GNOME û KDE Plasma Discover, ji vê pirsgirêkê nayê bandor kirin.
Source: opennet.ru