స్వీయ-నియంత్రణ ఫ్లాట్పాక్ ప్యాకేజీలు 1.14.4, 1.12.8, 1.10.8 మరియు 1.15.4 సృష్టించడానికి టూల్కిట్కు సరిదిద్దే నవీకరణలు అందుబాటులో ఉన్నాయి, ఇవి రెండు దుర్బలత్వాలను పరిష్కరిస్తాయి:
- CVE-2023-28100 - దాడి చేసే వ్యక్తి తయారుచేసిన ఫ్లాట్పాక్ ప్యాకేజీని ఇన్స్టాల్ చేసేటప్పుడు TIOCLINUX ioctl యొక్క తారుమారు ద్వారా వర్చువల్ కన్సోల్ ఇన్పుట్ బఫర్లోకి టెక్స్ట్ను కాపీ చేసి ప్రత్యామ్నాయం చేయగల సామర్థ్యం. ఉదాహరణకు, థర్డ్-పార్టీ ప్యాకేజీ యొక్క ఇన్స్టాలేషన్ ప్రక్రియ పూర్తయిన తర్వాత కన్సోల్లో ఏకపక్ష కమాండ్లను ప్రారంభించడానికి దుర్బలత్వం ఉపయోగించబడుతుంది. సమస్య క్లాసిక్ వర్చువల్ కన్సోల్ (/dev/tty1, /dev/tty2, మొదలైనవి)లో మాత్రమే కనిపిస్తుంది మరియు xterm, gnome-terminal, Konsole మరియు ఇతర గ్రాఫికల్ టెర్మినల్స్లో సెషన్లను ప్రభావితం చేయదు. దుర్బలత్వం flatpakకి ప్రత్యేకమైనది కాదు మరియు ఇతర అనువర్తనాలపై దాడి చేయడానికి ఉపయోగించవచ్చు, ఉదాహరణకు, TIOCSTI ioctl ఇంటర్ఫేస్ ద్వారా అక్షర ప్రత్యామ్నాయాన్ని అనుమతించే గతంలో ఇలాంటి దుర్బలత్వాలు /bin/sandbox మరియు snapలో కనుగొనబడ్డాయి.
- CVE-2023-28101 - ఇన్స్టాలేషన్ సమయంలో లేదా కమాండ్ లైన్ ఇంటర్ఫేస్ ద్వారా ప్యాకేజీని నవీకరించేటప్పుడు అభ్యర్థించిన పొడిగించిన అనుమతుల గురించి టెర్మినల్ అవుట్పుట్ సమాచారాన్ని దాచడానికి ప్యాకేజీ మెటాడేటాలోని అనుమతుల జాబితాలో ఎస్కేప్ సీక్వెన్స్లను ఉపయోగించడం సాధ్యమవుతుంది. ప్యాకేజీలో ఉపయోగించిన ఆధారాల గురించి వినియోగదారులను తప్పుదారి పట్టించేందుకు దాడి చేసేవారు ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. గ్నోమ్ సాఫ్ట్వేర్ మరియు కెడిఇ ప్లాస్మా డిస్కవర్ వంటి ఫ్లాట్పాక్ ప్యాకేజీలను ఇన్స్టాల్ చేయడానికి GUIలు ఈ సమస్య ద్వారా ప్రభావితం కావు.
మూలం: opennet.ru