දුර්වලතා දෙකක් නිරාකරණය කරන ස්වයං අන්තර්ගත Flatpak පැකේජ 1.14.4, 1.12.8, 1.10.8 සහ 1.15.4 නිර්මාණය කිරීමට මෙවලම් කට්ටලයට නිවැරදි යාවත්කාලීන කිරීම් තිබේ:
- CVE-2023-28100 - ප්රහාරකයෙකු විසින් සකස් කරන ලද flatpak පැකේජයක් ස්ථාපනය කිරීමේදී TIOCLINUX ioctl හැසිරවීම හරහා අතථ්ය කොන්සෝල ආදාන බෆරයට පෙළ පිටපත් කිරීමට සහ ආදේශ කිරීමට ඇති හැකියාව. උදාහරණයක් ලෙස, තෙවන පාර්ශ්ව පැකේජයක ස්ථාපන ක්රියාවලිය අවසන් වූ පසු කොන්සෝලය තුළ අත්තනෝමතික විධාන දියත් කිරීමට අවදානම භාවිතා කළ හැක. ගැටළුව දිස්වන්නේ සම්භාව්ය අතථ්ය කොන්සෝලයේ (/dev/tty1, /dev/tty2, ආදිය) පමණක් වන අතර xterm, gnome-terminal, Konsole සහ අනෙකුත් චිත්රක පර්යන්තවල සැසිවලට බලපාන්නේ නැත. අවදානම flatpak සඳහා විශේෂිත නොවන අතර වෙනත් යෙදුම් වලට පහර දීමට භාවිතා කළ හැක, උදාහරණයක් ලෙස, TIOCSTI ioctl අතුරුමුහුණත හරහා අක්ෂර ආදේශනයට ඉඩ දුන් පෙර සමාන දුර්වලතා /bin/sandbox සහ snap හි සොයා ගන්නා ලදී.
- CVE-2023-28101 - විධාන රේඛා අතුරුමුහුණත හරහා පැකේජයක් ස්ථාපනය කිරීමේදී හෝ යාවත්කාලීන කිරීමේදී ඉල්ලා සිටින දීර්ඝ අවසරයන් පිළිබඳ පර්යන්ත ප්රතිදාන තොරතුරු සැඟවීමට පැකේජ පාරදත්ත තුළ අවසර ලැයිස්තුවක ගැලවීමේ අනුපිළිවෙල භාවිතා කළ හැකිය. පැකේජයේ භාවිතා කරන අක්තපත්ර ගැන පරිශීලකයින් නොමඟ යැවීමට ප්රහාරකයන්ට මෙම අවදානම ප්රයෝජනයට ගත හැකිය. GNOME මෘදුකාංග සහ KDE ප්ලාස්මා ඩිස්කවර් වැනි Flatpak පැකේජ ස්ථාපනය කිරීම සඳහා වන GUIs මෙම ගැටලුවට බලපාන්නේ නැත.
මූලාශ්රය: opennet.ru