纠正工具更新可用于创建独立的 Flatpak 软件包 1.14.4、1.12.8、1.10.8 和 1.15.4,它们修复了两个漏洞:
- CVE-2023-28100 – 在安装攻击者准备的 flatpak 软件包时,能够通过操作 TIOCLINUX ioctl 将文本复制并粘贴到虚拟控制台输入缓冲区中。 例如,该漏洞可用于在第三方软件包的安装过程完成后在控制台中启动任意命令。 该问题仅出现在经典虚拟控制台(/dev/tty1、/dev/tty2等)中,不会影响xterm、gnome-terminal、Konsole等图形终端中的会话。 该漏洞并非Flatpak特有,可用于攻击其他应用程序,例如,之前在/bin/sandbox和snap中发现了允许通过TIOCSTI ioctl接口进行字符替换的类似漏洞。
- CVE-2023-28101 - 在通过命令行界面安装或更新包期间,可以在包元数据的权限列表中使用转义序列来隐藏有关请求的扩展权限的终端输出信息。 攻击者可以利用此漏洞误导用户有关程序包中使用的凭据的信息。 用于安装 Flatpak 软件包的 GUI(例如 GNOME Software 和 KDE Plasma Discover)不受此问题的影响。
来源: opennet.ru