Na voljo je popravljalna posodobitev kompleta orodij za ustvarjanje samostojnih paketov Flatpak 1.10.2, ki odpravlja ranljivost (CVE-2021-21381), ki avtorju paketa z aplikacijo omogoča, da obide izolacijski način peskovnika in pridobi dostop do datoteke v glavnem sistemu. Težava se pojavlja že od izdaje 0.9.4.
Ranljivost je posledica napake pri izvajanju funkcije posredovanja datotek, ki prek manipulacije datoteke .desktop omogoča dostop do virov v zunanjem datotečnem sistemu, do katerih je prepovedan dostop delujoči aplikaciji. Pri dodajanju datotek z oznakama "@@" in "@@u" v polje Exec bo flatpak domneval, da je podane ciljne datoteke izrecno določil uporabnik, in samodejno bo dostopal do teh datotek v peskovniku. Ranljivost lahko uporabijo avtorji zlonamernih paketov za organizacijo dostopa do zunanjih datotek, kljub videzu, da teče v izolacijskem načinu.
Vir: opennet.ru