🥇दोन भेद्यता निश्चित केलेल्या फ्लॅटपॅक अपडेट

टूलकिटचे सुधारात्मक अद्यतने स्व-निहित Flatpak पॅकेज 1.14.4, 1.12.8, 1.10.8 आणि 1.15.4 तयार करण्यासाठी उपलब्ध आहेत, जे दोन भेद्यता निश्चित करतात:

CVE-2023-28100 - आक्रमणकर्त्याने तयार केलेले फ्लॅटपॅक पॅकेज स्थापित करताना TIOCLINUX ioctl च्या हाताळणीद्वारे व्हर्च्युअल कन्सोल इनपुट बफरमध्ये मजकूर कॉपी आणि बदलण्याची क्षमता. उदाहरणार्थ, थर्ड-पार्टी पॅकेजची इन्स्टॉलेशन प्रक्रिया पूर्ण झाल्यानंतर कन्सोलमध्ये अनियंत्रित कमांड लाँच करण्यासाठी भेद्यता वापरली जाऊ शकते. समस्या फक्त क्लासिक वर्च्युअल कन्सोलमध्ये दिसून येते (/dev/tty1, /dev/tty2, इ.) आणि xterm, gnome-terminal, Konsole आणि इतर ग्राफिकल टर्मिनल्समधील सत्रांवर परिणाम करत नाही. भेद्यता ही फ्लॅटपॅकसाठी विशिष्ट नाही आणि इतर अनुप्रयोगांवर हल्ला करण्यासाठी वापरली जाऊ शकते, उदाहरणार्थ, TIOCSTI ioctl इंटरफेसद्वारे वर्ण बदलण्याची परवानगी देणाऱ्या समान भेद्यता /bin/sandbox आणि snap मध्ये आढळल्या होत्या.
CVE-2023-28101 - कमांड लाइन इंटरफेसद्वारे पॅकेजच्या स्थापनेदरम्यान किंवा अपडेट करताना विनंती केलेल्या विस्तारित परवानग्यांबद्दल टर्मिनल आउटपुट माहिती लपवण्यासाठी पॅकेज मेटाडेटामधील परवानग्यांच्या सूचीमध्ये एस्केप सीक्वेन्स वापरणे शक्य आहे. पॅकेजमध्ये वापरलेल्या क्रेडेन्शियलबद्दल वापरकर्त्यांची दिशाभूल करण्यासाठी हल्लेखोर या असुरक्षिततेचा फायदा घेऊ शकतात. फ्लॅटपॅक पॅकेजेस इंस्टॉल करण्यासाठी GUI, जसे की GNOME सॉफ्टवेअर आणि KDE प्लाझ्मा डिस्कवर, या समस्येमुळे प्रभावित होत नाहीत.

स्त्रोत: opennet.ru

दोन भेद्यता निश्चित करण्यासाठी Flatpak अद्यतन

एक टिप्पणी जोडा Отменить ответ