Sasisho la kusahihisha la zana ya kuunda vifurushi vinavyojitegemea Flatpak 1.10.2 linapatikana, ambalo huondoa athari (CVE-2021-21381) ambayo inaruhusu mwandishi wa kifurushi kilicho na programu kukwepa hali ya kutengwa ya kisanduku cha mchanga na kupata ufikiaji wa faili kwenye mfumo mkuu. Tatizo limekuwa likionekana tangu kutolewa 0.9.4.
Udhaifu husababishwa na hitilafu katika utekelezaji wa kitendakazi cha usambazaji wa faili, ambayo inafanya uwezekano, kwa njia ya uendeshaji wa faili ya .desktop, kufikia rasilimali katika mfumo wa faili wa nje ambao ni marufuku kufikiwa na programu inayoendesha. Wakati wa kuongeza faili zilizo na lebo "@@" na "@@u" katika sehemu ya Utekelezaji, flatpak itachukulia kuwa faili lengwa zilizobainishwa zilibainishwa wazi na mtumiaji na zitafikia faili hizi kiotomatiki kwenye sanduku la mchanga. Athari inaweza kutumika na waandishi wa vifurushi hasidi kupanga ufikiaji wa faili za nje, licha ya kuonekana kwa hali ya kutengwa.
Chanzo: opennet.ru