Ir pieejams koriģējošais atjauninājums rīkkopai autonomu pakotņu izveidei Flatpak 1.10.2, kas novērš ievainojamību (CVE-2021-21381), kas ļauj pakotnes ar lietojumprogrammu autoram apiet smilškastes izolācijas režīmu un piekļūt faili galvenajā sistēmā. Problēma parādās kopš izlaiduma 0.9.4.
Ievainojamību izraisa kļūda failu pārsūtīšanas funkcijas ieviešanā, kas ļauj, manipulējot ar .desktop failu, piekļūt ārējās failu sistēmas resursiem, kuriem ir aizliegts piekļūt esošajai lietojumprogrammai. Pievienojot failus ar tagiem "@@" un "@@u" Exec laukā, flatpak pieņems, ka norādītos mērķa failus ir skaidri norādījis lietotājs, un automātiski nodrošinās smilškastes piekļuvi šiem failiem. Ļaunprātīgu pakotņu autori var izmantot ievainojamību, lai organizētu piekļuvi ārējiem failiem, neskatoties uz to, ka tā darbojas izolācijas režīmā.
Avots: opennet.ru