Er zijn corrigerende updates voor de toolkit beschikbaar om op zichzelf staande Flatpak-pakketten 1.14.4, 1.12.8, 1.10.8 en 1.15.4 te maken, die twee kwetsbaarheden verhelpen:
- CVE-2023-28100 - de mogelijkheid om tekst te kopiëren en te vervangen in de invoerbuffer van de virtuele console door manipulatie van de TIOCLINUX ioctl bij het installeren van een flatpak-pakket dat is voorbereid door een aanvaller. Het beveiligingslek kan bijvoorbeeld worden gebruikt om willekeurige opdrachten in de console te starten nadat het installatieproces van een pakket van derden is voltooid. Het probleem doet zich alleen voor in de klassieke virtuele console (/dev/tty1, /dev/tty2, etc.) en heeft geen invloed op sessies in xterm, gnome-terminal, Konsole en andere grafische terminals. De kwetsbaarheid is niet specifiek voor flatpak en kan worden gebruikt om andere applicaties aan te vallen. Eerder werden bijvoorbeeld vergelijkbare kwetsbaarheden gevonden die karaktervervanging via de TIOCSTI ioctl-interface mogelijk maakten in /bin/sandbox en snap.
- CVE-2023-28101 - Het is mogelijk om escape-reeksen te gebruiken in een lijst met machtigingen in pakketmetagegevens om terminaluitvoerinformatie over aangevraagde uitgebreide machtigingen te verbergen tijdens de installatie of update van een pakket via de opdrachtregelinterface. Aanvallers kunnen dit beveiligingslek misbruiken om gebruikers te misleiden over de inloggegevens die in het pakket worden gebruikt. GUI's voor het installeren van Flatpak-pakketten, zoals GNOME Software en KDE Plasma Discover, worden niet beïnvloed door dit probleem.
Bron: opennet.ru