Nûvekirinek rastker a amûrê ji bo afirandina pakêtên xwegirtî Flatpak 1.10.2 peyda dibe, ku qelsiyek (CVE-2021-21381) ji holê radike ku destûrê dide nivîskarê pakêtek bi serîlêdanek ku moda veqetandina sandboxê derbas bike û bigihîje pelên li ser pergala sereke. Pirsgirêk ji nûvekirina 0.9.4 ve xuya dike.
Zehfbûn ji ber xeletiyek di pêkanîna fonksiyona şandina pelê de çêdibe, ku bi manîpulekirina pelek .sermaseyê, gengaz dike ku meriv xwe bigihîne çavkaniyên di pergala pelê ya derveyî de ku ji hêla sepana xebitandinê ve têne qedexe kirin. Dema ku pelên bi etîketên "@@" û "@@u" li qada Exec lê zêde bike, flatpak dê bihesibîne ku pelên hedef ên diyarkirî ji hêla bikarhêner ve bi eşkere hatine destnîşan kirin û dê bixweber bi sandbox bigihîje van pelan. Zehf dikare ji hêla nivîskarên pakêtên xirab ve were bikar anîn da ku gihîştina pelên derveyî organîze bikin, tevî ku xuyangiya xebitandina di moda veqetandinê de.
Source: opennet.ru