Imudojuiwọn atunṣe si ohun elo irinṣẹ fun ṣiṣẹda awọn idii ti ara ẹni Flatpak 1.10.2 wa, eyiti o yọkuro ailagbara kan (CVE-2021-21381) ti o fun laaye onkọwe package kan pẹlu ohun elo kan lati fori ipo ipinya iyanrin ati ni iraye si awọn faili lori akọkọ eto. Iṣoro naa ti han lati itusilẹ 0.9.4.
Ailagbara naa jẹ idi nipasẹ aṣiṣe ninu imuse iṣẹ fifiranšẹ faili, eyiti o jẹ ki o ṣee ṣe, nipasẹ ifọwọyi ti faili tabili tabili kan, lati wọle si awọn ohun elo ninu eto faili ita ti o ni idinamọ lati wọle nipasẹ ohun elo nṣiṣẹ. Nigbati o ba nfi awọn faili kun pẹlu awọn afi "@@" ati "@@u" ni aaye Exec, flatpak yoo ro pe awọn faili ibi-afẹde ti o wa ni pato ni pato nipasẹ olumulo ati pe yoo wọle si apoti iyanrin laifọwọyi si awọn faili wọnyi. Ailagbara naa le ṣee lo nipasẹ awọn onkọwe ti awọn idii irira lati ṣeto iraye si awọn faili ita, laibikita hihan ti nṣiṣẹ ni ipo ipinya.
orisun: opennet.ru