此工具包的修正更新可用於建立獨立的 Flatpak 軟體包 1.14.4、1.12.8、1.10.8 和 1.15.4,修復了兩個漏洞:
- CVE-2023-28100 - 在安裝攻擊者準備的 flatpak 軟體包時,能夠透過操作 TIOCLINUX ioctl 將文字複製並替換到虛擬控制台輸入緩衝區中。 例如,該漏洞可用於在第三方軟體包的安裝過程完成後在控制台中啟動任意命令。 此問題僅出現在經典虛擬控制台(/dev/tty1、/dev/tty2等)中,不會影響xterm、gnome-terminal、Konsole等圖形終端機中的會話。 該漏洞並非Flatpak特有,可用於攻擊其他應用程序,例如,先前在/bin/sandbox和snap中發現了允許透過TIOCSTI ioctl介面進行字元替換的類似漏洞。
- CVE-2023-28101 - 在透過命令列介面安裝或更新套件期間,可以在包元資料的權限清單中使用轉義序列來隱藏有關請求的擴充權限的終端輸出資訊。 攻擊者可以利用此漏洞誤導使用者有關程式包中使用的憑證的資訊。 安裝 Flatpak 軟體包的 GUI(例如 GNOME Software 和 KDE Plasma Discover)不受此問題的影響。
來源: opennet.ru