Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
14-Мар-2021 10:30

Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4.
Уязвимость вызвана ошибкой в реализации функции перенаправления доступа к файлу ("file forwarding"), которая даёт возможность через манипуляцию с .desktop-файлом обратится к ресурсам во внешней файловой системе, к которым запрещено обращаться запущенному приложению. При добавлении файлов с метками "@@" и "@@u" в поле Exec, flatpak посчитает что указанные целевые файлы были явно указаны пользователем и автоматически пробросит доступ к этим файлам в sandbox. Уязвимость может быть использована авторами вредоносных пакетов для организации доступа к внешним файлам, несмотря на видимость запуска в режиме изоляции.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_flatpak
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 09:08
Часовой пояс: UTC + 5