Доступны корректирующие обновления инструментарии для создания самодостаточных пакетов Flatpak 1.14.4, 1.12.8, 1.10.8 и 1.15.4 в которых устранены две уязвимости:
- CVE-2023-28100 – возможность копирования и подстановки текста в буфер ввода виртуальной консоли через манипуляции с ioctl TIOCLINUX при установке подготовленного злоумышленником flatpak-пакета. Например, уязвимость может быть использована для организации запуска произвольных команд в консоли после завершения процесса установки стороннего пакета. Проблема проявляется только в классической виртуальной консоли (/dev/tty1, /dev/tty2 и т.п.) и не затрагивает сеансы в xterm, gnome-terminal, Konsole и прочих графических терминалах. Уязвимость не специфична для flatpak и может быть использована для атаки на другие приложения, например, ранее похожие уязвимости, позволявшие выполнять подстановку символов через ioctl-интерфейс TIOCSTI, находили в /bin/sandbox иsnap.
- CVE-2023-28101 – возможность использования escape-последовательностей в списке полномочий в метаданных пакета для скрытия выводимой в терминал информации о запрашиваемых расширенных полномочиях во время установки или обновления пакета через интерфейс командной строки. Злоумышленники могут воспользоваться данной уязвимостью для введения пользователей в заблуждение о используемых в пакете полномочиях. Графические интерфейсы для установки пакетов Flatpak, такие как GNOME Software и KDE Plasma Discover, проблеме не подвержены.
Release.
Ссылка here.