Ажурирање на Flatpak 1.10.2 со поправка на ранливоста на изолацијата на песокот

Достапно е корективно ажурирање на комплетот алатки за создавање самостојни пакети Flatpak 1.10.2, со што се елиминира ранливоста (CVE-2021-21381) што му овозможува на авторот на пакет со апликација да го заобиколи режимот за изолација на песокот и да добие пристап до датотеки на главниот систем. Проблемот се појавува од објавувањето 0.9.4.

Ранливоста е предизвикана од грешка во имплементацијата на функцијата за препраќање датотеки, што овозможува, преку манипулација со датотека .desktop, да се пристапи до ресурсите во надворешен датотечен систем до кои е забранет пристапот на апликацијата која работи. Кога додавате датотеки со ознаки „@@“ и „@@u“ во полето Exec, flatpak ќе претпостави дека наведените целни датотеки биле експлицитно наведени од корисникот и автоматски ќе пристапи до песокот до овие датотеки. Ранливоста може да се користи од авторите на малициозните пакети за организирање пристап до надворешни датотеки, и покрај изгледот дека работи во режим на изолација.

Извор: opennet.ru