Навсозиҳои ислоҳкунандаи маҷмӯа барои эҷоди бастаҳои мустақили Flatpak 1.14.4, 1.12.8, 1.10.8 ва 1.15.4 дастрасанд, ки ду осебпазириро ислоҳ мекунанд:
- CVE-2023-28100 - қобилияти нусхабардорӣ ва иваз кардани матн ба буфери вуруди консоли виртуалӣ тавассути коркарди TIOCLINUX ioctl ҳангоми насб кардани бастаи flatpak, ки ҳамлагар омода кардааст. Масалан, осебпазириро барои оғоз кардани фармонҳои худсарона дар консол пас аз анҷоми раванди насби бастаи тарафи сеюм истифода бурдан мумкин аст. Мушкилот танҳо дар консолҳои виртуалии классикӣ пайдо мешавад (/dev/tty1, /dev/tty2 ва ғайра) ва ба сессияҳо дар xterm, gnome-terminal, Konsole ва дигар терминалҳои графикӣ таъсир намерасонад. Ин осебпазирӣ ба flatpak хос нест ва метавонад барои ҳамла ба дигар замимаҳо истифода шавад, масалан, осебпазириҳои қаблан шабеҳе, ки имкон медоданд, ки иваз кардани аломат тавассути интерфейси TIOCSTI ioctl дар /bin/sandbox ва snap пайдо шуданд.
- CVE-2023-28101 - Истифодаи пайдарпайии фирор дар рӯйхати иҷозатҳо дар метамаълумоти баста барои пинҳон кардани маълумоти баромади терминал дар бораи иҷозатҳои васеъи дархостшуда ҳангоми насб ё навсозии баста тавассути интерфейси сатри фармон имконпазир аст. Ҳамлагарон метавонанд аз ин осебпазирӣ истифода баранд, то корбаронро дар бораи маълумотҳои дар баста истифодашуда гумроҳ кунанд. GUI-ҳо барои насб кардани бастаҳои Flatpak, ба монанди Software GNOME ва KDE Plasma Discover, аз ин масъала таъсир намерасонанд.
Манбаъ: opennet.ru