Një përditësim korrigjues i mjetit të paketimit të pavarur Flatpak 1.10.2 është i disponueshëm që rregullon një dobësi (CVE-2021-21381) që mund të lejojë autorin e një pakete me një aplikacion të anashkalojë modalitetin e vendosur të izolimit të sandbox dhe të fitojë akses te skedarët në sistemin pritës. Problemi është shfaqur që nga lëshimi 0.9.4.
Dobësia shkaktohet nga një gabim në zbatimin e funksionit të përcjelljes së skedarëve, i cili bën të mundur që nëpërmjet manipulimit të skedarit .desktop të aksesohet burimet në sistemin e skedarëve të jashtëm që nuk lejohen të aksesohen nga aplikacioni që ekzekutohet. Kur shtoni skedarë me etiketat "@@" dhe "@@u" në fushën Exec, flatpak do të supozojë se skedarët e specifikuar të synuar janë specifikuar në mënyrë eksplicite nga përdoruesi dhe automatikisht do të përcjellë aksesin te këta skedarë në sandbox. Dobësia mund të përdoret nga autorët e paketave me qëllim të keq për të siguruar akses në skedarët e jashtëm, pavarësisht nga pamja e funksionimit në modalitetin e izolimit.
Burimi: opennet.ru
