Flatpak ස්වයං අන්තර්ගත පැකේජ නිර්මාණය කිරීමේ මෙවලම් කට්ටලය 1.14.4, 1.12.8, 1.10.8, සහ 1.15.4 සඳහා නිවැරදි කිරීමේ යාවත්කාලීන කිරීම් දැන් ලබා ගත හැකි අතර, අවදානම් දෙකක් නිවැරදි කරයි:
- CVE-2023-28100 — ද්වේශ සහගත ලෙස නිර්මාණය කරන ලද flatpak පැකේජයක් ස්ථාපනය කිරීමේදී TIOCLINUX ioctl හැසිරවීම හරහා අථත්ය කොන්සෝල ආදාන බෆරයේ පෙළ පිටපත් කිරීමට සහ ආදේශ කිරීමට ඉඩ සලසන අවදානමක් පවතී. උදාහරණයක් ලෙස, තෙවන පාර්ශවීය පැකේජයක් ස්ථාපනය කිරීමෙන් පසු කොන්සෝලයේ අත්තනෝමතික විධාන ක්රියාත්මක කිරීමට මෙම අවදානම භාවිතා කළ හැකිය. ගැටළුව සම්භාව්ය අථත්ය කොන්සෝලය (/dev/tty1, /dev/tty2, ආදිය) තුළ පමණක් ප්රකාශ වන අතර xterm, gnome-terminal, Konsole හෝ වෙනත් චිත්රක පර්යන්තවල සැසිවලට බලපාන්නේ නැත. මෙම අවදානම flatpak සඳහා විශේෂිත නොවන අතර අනෙකුත් යෙදුම් වලට පහර දීමට භාවිතා කළ හැක. උදාහරණයක් ලෙස, TIOCSTI ioctl අතුරුමුහුණත හරහා අක්ෂර ආදේශනයට ඉඩ දෙන සමාන අවදානම් මීට පෙර /bin/sandbox සහ snap හි දක්නට ලැබුණි.
- CVE-2023-28101 – පැකේජ ස්ථාපනය අතරතුර ඉල්ලා සිටින ලද දීර්ඝ කළ අවසරයන් පිළිබඳ පර්යන්ත ප්රතිදානය අපැහැදිලි කිරීමට හෝ විධාන රේඛා අතුරුමුහුණත හරහා උත්ශ්රේණි කිරීමට පැකේජයක පාරදත්ත අවසර ලැයිස්තුවේ පැන යාමේ අනුපිළිවෙල භාවිතා කිරීම සඳහා සූරාකෑමේ අවදානමක් පවතී. පැකේජයක භාවිතා කරන අවසරයන් පිළිබඳව පරිශීලකයින් නොමඟ යැවීමට ප්රහාරකයින්ට මෙම අවදානම උපයෝගී කර ගත හැකිය. GNOME මෘදුකාංග සහ KDE Plasma Discover වැනි Flatpak පැකේජ ස්ථාපනය කිරීම සඳහා වන චිත්රක අතුරුමුහුණත් මෙම ගැටළුවෙන් බලපාන්නේ නැත.
මූලාශ්රය: opennet.ru
