Обновление Flatpak с устранением двух уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Доступны корректирующие обновления инструментарии для создания самодостаточных пакетов Flatpak 1.14.4, 1.12.8, 1.10.8 и 1.15.4 в которых устранены две уязвимости:
- CVE-2023-28100 - возможность копирования и подстановки текста в буфер ввода виртуальной консоли через манипуляции с ioctl TIOCLINUX при установке подготовленного злоумышленником flatpak-пакета. Например, уязвимость может быть использована для организации запуска произвольных команд в консоли после завершения процесса установки стороннего пакета. Проблема проявляется только в классической виртуальной консоли (/dev/tty1, /dev/tty2 и т.п.) и не затрагивает сеансы в xterm, gnome-terminal, Konsole и прочих графических терминалах. Уязвимость не специфична для flatpak и может быть использована для атаки на другие приложения, например, ранее похожие уязвимости, позволявшие выполнять подстановку символов через ioctl-интерфейс TIOCSTI, находили в /bin/sandbox и
snap.
- CVE-2023-28101 - возможность использования escape-последовательностей в списке полномочий в метаданных пакета для скрытия выводимой в терминал информации о запрашиваемых расширенных полномочиях во время установки или обновления пакета через интерфейс командной строки. Злоумышленники могут воспользоваться данной уязвимостью для введения пользователей в заблуждение о используемых в пакете полномочиях. Графические интерфейсы для установки пакетов Flatpak, такие как GNOME Software и KDE Plasma Discover, проблеме не подвержены.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.openwall.com/lists...)
- OpenNews: Уязвимость, позволяющая обойти режим sandbox-изоляции SELinux
- OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.14.0
- OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
- OpenNews: Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux
- OpenNews: Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию
Похожие новости:
- Официальные редакции Ubuntu прекратят поддержку Flatpak в базовой поставке
- Fedora 38 предложит неограниченную поддержку Flathub
- Релиз системы самодостаточных пакетов Flatpak 1.14.0
- Flathub внедряет поддержку пожертвований и платных приложений
- Проект Celestial развивает сборку Ubuntu с Flatpak вместо Snap
- Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js
- Релиз системы самодостаточных пакетов Flatpak 1.12.0
- Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию
- Уязвимость во Flatpak, позволяющая обойти режим изоляции
- Релиз системы самодостаточных пакетов Flatpak 1.10.0
Теги для поиска: #_flatpak
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:20
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Доступны корректирующие обновления инструментарии для создания самодостаточных пакетов Flatpak 1.14.4, 1.12.8, 1.10.8 и 1.15.4 в которых устранены две уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:20
Часовой пояс: UTC + 5