Dostępna jest aktualizacja naprawcza do zestawu narzędzi do tworzenia samodzielnych pakietów Flatpak 1.10.2, która eliminuje lukę (CVE-2021-21381) umożliwiającą autorowi pakietu z aplikacją ominięcie trybu izolacji piaskownicy i uzyskanie dostępu do plików w systemie głównym. Problem pojawia się od wersji 0.9.4.
Podatność wynika z błędu w implementacji funkcji przekazywania plików, która umożliwia poprzez manipulację plikiem .desktop dostęp do zasobów w zewnętrznym systemie plików, do których uruchomiona aplikacja nie ma dostępu. Podczas dodawania plików ze znacznikami „@@” i „@@u” w polu Exec, flatpak założy, że określone pliki docelowe zostały jawnie określone przez użytkownika i automatycznie uzyska dostęp do tych plików w trybie piaskownicy. Luka może zostać wykorzystana przez autorów szkodliwych pakietów do zorganizowania dostępu do plików zewnętrznych, pomimo pozornego działania w trybie izolacji.
Źródło: opennet.ru