E Korrekturaktualiséierung vum Flatpak 1.10.2 selbstänneg Verpackungsinstrument ass verfügbar, deen eng Schwachstelle fixéiert (CVE-2021-21381) déi den Auteur vun engem Package mat enger Applikatioun erlaabt d'Sandbox Isolatiouns-Astellung ze ëmgoen an Zougang zu Dateien op den Hostsystem. De Problem ass zënter der Verëffentlechung 0.9.4 manifestéiert.
D'Schwachheet gëtt duerch e Feeler bei der Ëmsetzung vun der Datei-Forward-Funktioun verursaacht, déi et méiglech mécht, duerch Manipulatioun mat der .desktop-Datei, Ressourcen am externen Dateiesystem ze kréien, déi net vun der lafender Applikatioun zougänglech sinn. Wann Dir Dateien mat "@@" an "@@u" Tags am Exec Feld bäidréit, gëtt flatpak ugeholl datt déi spezifizéiert Zildateien explizit vum Benotzer spezifizéiert goufen an automatesch den Zougang zu dësen Dateien an d'Sandbox weiderginn. D'Schwachheet kann vun den Autoren vu béiswëlleg Pakete benotzt ginn fir Zougang zu externe Dateien ze bidden, trotz der Erscheinung am Isolatiounsmodus ze lafen.
Source: opennet.ru