இரண்டு பாதிப்புகளை சரிசெய்யும் தன்னிறைவான Flatpak 1.14.4, 1.12.8, 1.10.8 மற்றும் 1.15.4 கருவித்தொகுப்புக்கான திருத்தமான புதுப்பிப்புகள் உள்ளன:
- CVE-2023-28100 - தாக்குபவர்-தயாரிக்கப்பட்ட பிளாட்பேக் தொகுப்பை நிறுவும் போது TIOCLINUX ioctl ஐ கையாளுவதன் மூலம் மெய்நிகர் கன்சோல் உள்ளீட்டு இடையகத்தில் உரையை நகலெடுத்து ஒட்டும் திறன். எடுத்துக்காட்டாக, மூன்றாம் தரப்பு தொகுப்பின் நிறுவல் செயல்முறை முடிந்ததும், கன்சோலில் தன்னிச்சையான கட்டளைகளின் வெளியீட்டை ஒழுங்கமைக்க பாதிப்பு பயன்படுத்தப்படலாம். சிக்கல் கிளாசிக் மெய்நிகர் கன்சோலில் மட்டுமே தோன்றும் (/dev/tty1, /dev/tty2, முதலியன) மற்றும் xterm, gnome-terminal, Konsole மற்றும் பிற வரைகலை டெர்மினல்களில் அமர்வுகளைப் பாதிக்காது. பாதிப்பு என்பது பிளாட்பேக்கிற்குக் குறிப்பிட்டதல்ல, மேலும் பிற பயன்பாடுகளைத் தாக்கப் பயன்படுத்தலாம், எடுத்துக்காட்டாக, TIOCSTI ioctl இடைமுகம் மூலம் எழுத்துப் பதிலை அனுமதித்த முந்தைய இதே போன்ற பாதிப்புகள் /bin/sandbox மற்றும் snap இல் கண்டறியப்பட்டது.
- CVE-2023-28101 - கட்டளை வரி இடைமுகத்தின் மூலம் தொகுப்பை நிறுவும் போது அல்லது மேம்படுத்தும் போது கோரப்பட்ட நீட்டிக்கப்பட்ட அனுமதிகள் குறித்து முனையத்தில் காட்டப்படும் தகவலை மறைப்பதற்கு தொகுப்பு மெட்டாடேட்டாவில் உள்ள அனுமதிகளின் பட்டியலில் தப்பிக்கும் வரிசைகளைப் பயன்படுத்துவதற்கான திறன். தொகுப்பில் பயன்படுத்தப்படும் அனுமதிகள் குறித்து பயனர்களை தவறாக வழிநடத்த, தாக்குபவர் இந்த பாதிப்பைப் பயன்படுத்தலாம். GNOME மென்பொருள் மற்றும் KDE Plasma Discover போன்ற Flatpak தொகுப்புகளை நிறுவுவதற்கான வரைகலை இடைமுகங்கள் பாதிக்கப்படாது.
ஆதாரம்: opennet.ru