தன்னிறைவான தொகுப்புகளை உருவாக்குவதற்கான கருவித்தொகுப்பான Flatpak 1.10.2க்கான திருத்தும் புதுப்பிப்பு இப்போது கிடைக்கிறது. இது ஒரு பாதிப்பை (CVE-2021-21381) சரிசெய்கிறது, இது ஒரு பயன்பாட்டு தொகுப்பு ஆசிரியரை சாண்ட்பாக்ஸ் தனிமைப்படுத்தலைத் தவிர்த்து ஹோஸ்ட் சிஸ்டத்தில் கோப்புகளை அணுக அனுமதிக்கிறது. இந்த சிக்கல் 0.9.4 வெளியீட்டிலிருந்து உள்ளது.
இந்த பாதிப்பு கோப்பு பகிர்தல் செயல்பாட்டில் உள்ள பிழையால் ஏற்படுகிறது, இது இயங்கும் பயன்பாடு அணுக தடைசெய்யப்பட்ட வெளிப்புற கோப்பு முறைமையில் உள்ள வளங்களை அணுக .desktop கோப்பை கையாள அனுமதிக்கிறது. Exec புலத்தில் "@@" மற்றும் "@@u" குறிச்சொற்களைக் கொண்ட கோப்புகளைச் சேர்க்கும்போது, குறிப்பிட்ட இலக்கு கோப்புகள் பயனரால் வெளிப்படையாகக் குறிப்பிடப்பட்டதாக flatpak கருதுகிறது மற்றும் இந்த கோப்புகளுக்கான அணுகலை தானாகவே சாண்ட்பாக்ஸுக்கு அனுப்புகிறது. சாண்ட்பாக்ஸ் பயன்முறையில் இயங்குவது போல் தோன்றினாலும், வெளிப்புற கோப்புகளை அணுக தீங்கிழைக்கும் தொகுப்பு ஆசிரியர்களால் இந்த பாதிப்பைப் பயன்படுத்திக் கொள்ளலாம்.
ஆதாரம்: opennet.ru
