Обновление Flatpak с устранением двух уязвимостей

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
20-Мар-2023 13:54

Доступны корректирующие обновления инструментарии для создания самодостаточных пакетов Flatpak 1.14.4, 1.12.8, 1.10.8 и 1.15.4 в которых устранены две уязвимости:
  • CVE-2023-28100 - возможность копирования и подстановки текста в буфер ввода виртуальной консоли через манипуляции с ioctl TIOCLINUX при установке подготовленного злоумышленником flatpak-пакета. Например, уязвимость может быть использована для организации запуска произвольных команд в консоли после завершения процесса установки стороннего пакета. Проблема проявляется только в классической виртуальной консоли (/dev/tty1, /dev/tty2 и т.п.) и не затрагивает сеансы в xterm, gnome-terminal, Konsole и прочих графических терминалах. Уязвимость не специфична для flatpak и может быть использована для атаки на другие приложения, например, ранее похожие уязвимости, позволявшие выполнять подстановку символов через ioctl-интерфейс TIOCSTI, находили в /bin/sandbox и
    snap.
  • CVE-2023-28101 - возможность использования escape-последовательностей в списке полномочий в метаданных пакета для скрытия выводимой в терминал информации о запрашиваемых расширенных полномочиях во время установки или обновления пакета через интерфейс командной строки. Злоумышленники могут воспользоваться данной уязвимостью для введения пользователей в заблуждение о используемых в пакете полномочиях. Графические интерфейсы для установки пакетов Flatpak, такие как GNOME Software и KDE Plasma Discover, проблеме не подвержены.

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_flatpak
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 24-Ноя 23:10
Часовой пояс: UTC + 5