Er is een corrigerende update van de toolkit voor het maken van op zichzelf staande pakketten Flatpak 1.10.2 beschikbaar, die een kwetsbaarheid elimineert (CVE-2021-21381) waardoor de auteur van een pakket met een applicatie de sandbox-isolatiemodus kan omzeilen en toegang kan krijgen tot bestanden op het hoofdsysteem. Het probleem doet zich voor sinds release 0.9.4.
Het beveiligingslek wordt veroorzaakt door een fout in de implementatie van de functie voor het doorsturen van bestanden, die het mogelijk maakt om door manipulatie van een .desktop-bestand toegang te krijgen tot bronnen in een extern bestandssysteem waartoe de actieve applicatie geen toegang heeft. Bij het toevoegen van bestanden met de tags "@@" en "@@u" in het Exec-veld, gaat flatpak ervan uit dat de opgegeven doelbestanden expliciet door de gebruiker zijn opgegeven en wordt automatisch sandbox-toegang tot deze bestanden gegeven. Het beveiligingslek kan door de auteurs van kwaadaardige pakketten worden gebruikt om de toegang tot externe bestanden te organiseren, ondanks dat het lijkt alsof ze in de isolatiemodus draaien.
Bron: opennet.ru