د وسیلې کټ ته اصلاحي تازه معلومات د ځان لرونکي فلیټپاک کڅوړو 1.14.4، 1.12.8، 1.10.8 او 1.15.4 رامینځته کولو لپاره شتون لري ، کوم چې دوه زیانونه حل کوي:
- CVE-2023-28100 - د TIOCLINUX ioctl د لاسوهنې له لارې د مجازی کنسول ان پټ بفر کې د متن کاپي او بدیل کولو وړتیا کله چې د برید کونکي لخوا چمتو شوی فلیټپاک کڅوړه نصب کړئ. د مثال په توګه، زیانمنتیا د دریمې ډلې کڅوړې نصبولو پروسې بشپړولو وروسته په کنسول کې د خپل سري کمانډونو په لاره اچولو لپاره کارول کیدی شي. ستونزه یوازې په کلاسیک مجازی کنسول (/dev/tty1، /dev/tty2، etc.) کې ښکاري او په xterm، gnome-terminal، Konsole او نورو ګرافیکي ټرمینلونو کې ناستې اغیزه نه کوي. زیانمنتیا د فلیټپاک لپاره مشخصه نه ده او د نورو غوښتنلیکونو د برید لپاره کارول کیدی شي، د بیلګې په توګه، مخکې ورته ورته زیانونه چې د TIOCSTI ioctl انٹرفیس له لارې د کرکټر بدیل ته اجازه ورکوي په /bin/sandbox او سنیپ کې موندل شوي.
- CVE-2023-28101 - د کمانډ لاین انٹرفیس له لارې د بسته بندۍ یا تازه کولو پرمهال د غوښتل شوي تمدید شوي اجازې په اړه د ټرمینل محصول معلوماتو پټولو لپاره د کڅوړې میټاډاټا کې د اجازې لیست کې د فرار ترتیب کارول ممکن دي. برید کونکي کولی شي د دې زیان څخه ګټه پورته کړي ترڅو کاروونکي په بسته کې کارول شوي اعتبارونو په اړه ګمراه کړي. د Flatpak کڅوړو نصبولو لپاره GUIs، لکه GNOME سافټویر او KDE پلازما کشف، د دې مسلې لخوا اغیزمن شوي ندي.
سرچینه: opennet.ru