The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Flatpak с устранением двух уязвимостей

20.03.2023 10:45

Доступны корректирующие обновления инструментарии для создания самодостаточных пакетов Flatpak 1.14.4, 1.12.8, 1.10.8 и 1.15.4 в которых устранены две уязвимости:

  • CVE-2023-28100 - возможность копирования и подстановки текста в буфер ввода виртуальной консоли через манипуляции с ioctl TIOCLINUX при установке подготовленного злоумышленником flatpak-пакета. Например, уязвимость может быть использована для организации запуска произвольных команд в консоли после завершения процесса установки стороннего пакета. Проблема проявляется только в классической виртуальной консоли (/dev/tty1, /dev/tty2 и т.п.) и не затрагивает сеансы в xterm, gnome-terminal, Konsole и прочих графических терминалах. Уязвимость не специфична для flatpak и может быть использована для атаки на другие приложения, например, ранее похожие уязвимости, позволявшие выполнять подстановку символов через ioctl-интерфейс TIOCSTI, находили в /bin/sandbox и snap.
  • CVE-2023-28101 - возможность использования escape-последовательностей в списке полномочий в метаданных пакета для скрытия выводимой в терминал информации о запрашиваемых расширенных полномочиях во время установки или обновления пакета через интерфейс командной строки. Злоумышленники могут воспользоваться данной уязвимостью для введения пользователей в заблуждение о используемых в пакете полномочиях. Графические интерфейсы для установки пакетов Flatpak, такие как GNOME Software и KDE Plasma Discover, проблеме не подвержены.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость, позволяющая обойти режим sandbox-изоляции SELinux
  3. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.14.0
  4. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции
  5. OpenNews: Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux
  6. OpenNews: Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58825-flatpak
Ключевые слова: flatpak
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:54, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Когда-нибудь Линукс не будет сборищем разрозненных дистрибутивов, и флатпаки со снапами в этом деле, к сожалению, не помощники.
     
     
  • 2.2, iPony129412 (?), 10:58, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –11 +/
    ну, в любом случае, линукс малопригоден для десктопа, ничего личного, просто особенности монолитного ядра
     
     
  • 3.4, Аноним (4), 11:02, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Причём тут монолитное ядро?
     
     
  • 4.5, Аноним (5), 11:06, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Потому что слишком быстрое, по сравнению с макосячим или вантузячим гибридом. Потому и не подходит для десктопа, если я правильно понял что лошадь сказала.
     
     
  • 5.6, Аноним (4), 11:06, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да нет он просто потерял связь с реальностью и пишет бред.  
     
     
  • 6.44, Аноним (44), 12:48, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У него этой связи и не было. Всегда видел Мир только через Макбучек.
     
     
  • 7.79, Аноним (-), 19:44, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У него ядро гибридное всего лишь, не далеко от монолита ушло. Тоже 1 адресное пространство на все. А микроядра в их нормальном понимании - не срослось.
     
  • 7.92, Аноним (92), 08:57, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по тому, что лошадка столько лет упорно тусит на опеннете, макбуки и макось он видел только на картинках, и просто компенсирует свои комплексы через комментарии.
     
     
  • 8.95, iPony129412 (?), 10:14, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да Я за пределы конюшни не вылезаю Да хоть как обзывай, суть не меняется Ну и... текст свёрнут, показать
     
  • 3.102, Анониссимус (?), 22:24, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит у мамы Linux Mint. Всё есть: интернет, почта, видосики-журнальчики и т. п. Всё просто работает. ЧЯДНТ?

    P.S. Осознание монолитности ядра доставляют маме невероятные эстетические страдания. Ведь она поклонница Таненбаума, и в гробу видела этого Линуса с его монолитщиной. Вот, пожалуй, единственный минут линукса :D

     
  • 2.3, Аноним (4), 11:02, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да будет ядро, кор утилз. И программа, которая будет загружать контейнеры. Пока что никакой другой возможности уйти от традиционной линуксовой дистрибутивности нет.
     
     
  • 3.57, Аноним (57), 13:44, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем от неё уходить, чтобы что? От неё сплошной профит - выбор, невиданный для закрытых систем.
     
     
  • 4.63, Аноним (63), 15:57, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Чтобы перестать зависеть от дистрибутива и его репозитория и начать жить? Чтобы не сидеть на древних кедах по 2 года? Чтобы можно было поставить два разных приложения разных версий? Чтобы можно было поставить любую версию приложения, которое распространяет автор приложения? Любого из пунктов более чем достаточно.  
     
     
  • 5.74, Аноним (74), 19:14, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И чтобы линукс стал дружелюбным к троянам и вирусне как windows.
     
     
  • 6.94, iPony129412 (?), 10:11, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лезет дед Иван в дыру в заборе на свой участок через куст шиповника. Калитку не сделал. Каждый день ободранный, но приговаривает «специально так, это защита от злоумышленнииков».

    Так не работает.
    Злоумышленникам тем более совсем всё равно на все эти Debian правила макетирования и тому подобное. Ломать — не строить.

     
  • 5.98, Аноним (98), 19:00, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скачивать программы от любых белок-истеричек, идущих к успеху через инсталляторы... большой текст свёрнут, показать
     
  • 2.14, Аноним (14), 11:34, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда-нибудь Линукс не будет сборищем разрозненных дистрибутивов

    Спасибо, не надо.

     
     
  • 3.21, Ня тян (?), 12:03, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    то есть по-вашему тема фрагментации для семейства GNU/Linux сильно "раздута"?
     
     
  • 4.23, нгркеыыркер (?), 12:14, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Раздута. Десктопный линукс - это Ubuntu. Всё остальное - специфичное или для энтузиастов, пусть таковым и остаётся.
     
     
  • 5.81, Аноним (-), 19:48, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Оно и к лучшему, хомячки все толко загаживать умеют, и к тому же с ними не церемонятся особо, хозяин лучше знает когда глупому клетку чистить пора, и все такое. Ну его таким быть, забота хозяина дорого обходится в результате. Даде если это удобно и беззаботно, это не путь существ с мозгом.
     
  • 4.45, Аноним (44), 12:50, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эта, так называемая, фрагментация нам не мешает. Потому, как для каждого найдётся выбор по вкусу.
     
     
  • 5.49, iPony129412 (?), 12:58, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вам может и не мешает.
    А мне как-то понадобилось пакет под Ubuntu собрать.
    Посмотрел на это… и пошёл в snapcraft.
     
     
  • 6.59, Аноним (59), 15:27, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Понадобился пакет под Ubuntu - идешь в репозитарий Ubuntu, в чем проблема? Уж если он есть в snapcraft то там он тоже точно есть.
     
     
  • 7.62, iPony129412 (?), 15:38, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прикладываешься что-ли?

    > понадобилось пакет под Ubuntu собрать

    что тут непонятного-то? нигде нет.

     
     
  • 8.69, Аноним (59), 18:04, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, ты наверное сам не прочь того И чем тебе в этом помешала фрагментация - ... текст свёрнут, показать
     
     
  • 9.71, iPony129412 (?), 18:18, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да, конечно ... текст свёрнут, показать
     
  • 7.64, Аноним (63), 15:58, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если тебе нужна не протухшая версия, куда тебе идти? Сразу на...фиг?
     
     
  • 8.73, Аноним (59), 19:06, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В AUR Это проблема убунты, а не преимущество флатпака ... текст свёрнут, показать
     
  • 6.93, Аноним (92), 08:59, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Под какой такой убунту, окаянный?! У тебя же маки кругом!
     
     
  • 7.96, iPony129412 (?), 13:47, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Работа такая 🧑💻
     
  • 2.60, Аноним (59), 15:29, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >сборищем разрозненных дистрибутивов

    Как будто что-то плохое. Не будет такого разнообразия, придется тебе сидеть на BLMLinux с неотключаемым DRM.

     
  • 2.84, Андрей04091977 (ok), 21:24, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Флатпак офигенная вещь и места занимают не так уж много, примерно столько же как и обычные пакеты, но плюс три рантайма, могут устанавливаться без рут, стартуют в контейнере, а хостовая система может быть доступна только для чтения и устанавливаться атомарно из ostree. Флатпак некое подобие докер для гуёвых приложений. Если упор в будущем будет на ostree+flatpak, то традиционные пакеты уйдут в историю и зоопарк дистров резко сократится. Снапы хрень, прибиты к убунту кор, тормозные поскольку монтируются как loop, короче хотели сделать подобие DMG из макос, но сделали через жопу пока. Appimage ещё больший тормоз, поскольку монтируются через FUSE.
     

  • 1.16, pashev.ru (?), 11:47, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость не специфична для flatpak и может быть использована для атаки на другие приложения, например, ранее похожие уязвимости, позволявшие выполнять подстановку символов через ioctl-интерфейс TIOCSTI, находили в /bin/sandbox и snap.

    Ага. Детский сад. Уязвимость как раз специфична для Флатпака и аналогичного шлака.

     
     
  • 2.19, Аноним (4), 11:52, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато нашли.
     
  • 2.20, Ня тян (?), 11:59, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Флатпака и аналогичного шлака

    неплохо звучит)

     

  • 1.17, pashev.ru (?), 11:50, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, по ссылке https://www.opennet.dev/opennews/art.shtml?num=50402 также упоминается Флатпак и не первый раз. Создаётся впечатление, что уязвимость исправляют уже третий раз.
     
     
  • 2.55, Admino (ok), 13:22, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там была новость о том, что уязвимость нашли. Здесь о том, что уязвимость исправили.

    В принципе, можно создать ещё новости о том, что есть подозрение об уязвимости, о том, что найден временный фикс, о наличии эксплоита, и о том, что новая версия с исправлением появилась в дистрибутивах.

    Главное — покрепче вдолбить новостями, что флатпак уязвимый, гы-гы-гы.

     
     
  • 3.58, ip1982 (ok), 14:06, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Уязвимости устранены в выпусках snapd 2.37.4, flatpak 1.2.4 и flatpak 1.0.8.
     
  • 2.100, Аноним (98), 20:44, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, недоисправили для специфичного случая - применения в виртуальном терминале.
     

  • 1.43, Аноним (-), 12:44, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Графические интерфейсы для установки пакетов Flatpak, такие как GNOME Software и KDE Plasma Discover, проблеме не подвержены.

    А в чем тогда проблема?
    Могут пострадать те, кто пердолится через терминал? Ну типа и фиг с ними.

     
     
  • 2.48, iPony129412 (?), 12:57, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот кстати диссонанс.
    В линуксах обычно всё наоборот 🔄
     

  • 1.47, VoiD (?), 12:54, 20/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     
     
  • 2.54, test (??), 13:19, 20/03/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     

  • 1.56, fahri (?), 13:35, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так кто из этих троих самый лучший?
     
     
  • 2.66, Аноним (63), 16:02, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Флатпак хотя бы умеет делает контейнер, который между собой используют другие контейнеры, гном или кде. Это гораздо лучше чем у остальных.  
     

  • 1.61, Аноним (59), 15:33, 20/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Читал статьи-сравнения несколько лет назад, AppImage был самым удобным и стабильным, может что-то изменилось с тех пор.
     
     
  • 2.65, Аноним (63), 15:59, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Все плохо обновлений нет. Скоростного запуска нет. Аппимадж ненужен.  
     
     
  • 3.68, Аноним (59), 17:46, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    AppImage уже 19 лет, вероятно больше чем вам юноша. Логично что для него обновления выходят реже. Впрочем, при желании можно выкладывать билды хоть раз в день.
     
     
  • 4.70, Анонимик (?), 18:07, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    19 лет, а как был мертворождённым так и остался. Чтобы это понять, нужно посмотреть как он устроен и что даёт.
     
     
  • 5.72, Аноним (59), 19:01, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дает все необходимое для распространения приложений вместе с зависимостями. Загрузил и запустил. Многие проекты используют AppImage-сборку как стандартный способ распространения билдов.

    https://www.appimagehub.com/
    1233 AppImages and counting.

    Неплохо для мертворожденного.

     
     
  • 6.75, Аноним (75), 19:18, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И что мы должны, увидеть по ссылке? Что там приложений в два раза меньше чем на флатхабе? Что их невозможно обновлять централизовано и нужна какая-то левая приблуда? Что многие из аппимеджей не заработают за пределами целевой системы потому что мантейнер криворукий чудак? Камон, аппимейдж труп и это факт.
     
     
  • 7.86, Андрей04091977 (ok), 21:34, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Appimage труп хотя бы из-за того что не работает c wayland
     
  • 7.101, Аноним (59), 13:40, 22/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Что там приложений в два раза меньше чем на флатхабе?

    Алло, ты сравниваешь официальный магазин приложений флатпака и только один из неофициальных магазинов AppImage.

    >Что их невозможно обновлять централизовано и нужна какая-то левая приблуда?

    Как будто централизация это хорошо. Флатпак тоже не обновляется святым духом.

    >Что многие из аппимеджей не заработают за пределами целевой системы потому что мантейнер криворукий чудак?

    Все то же справедливо для Флатпака, очнись уже, некриворукий чудак.

    >Камон, аппимейдж труп и это факт.

    Как говорится, собаки лают, а караван идет. Еще посмотрим кто кого переживет.

     
  • 2.85, Андрей04091977 (ok), 21:31, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну нафиг, самыми удобными в те времена были статичные бинари ELF со всем содержимым в нём и архивы по принципу скачал, распаковал и запустил, лиса по сей день так доступна на их сайте и она даже обновляется.
     

  • 1.97, Вы забыли заполнить поле Name (?), 15:36, 21/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В недавней новости про bubble wrap аноним с пеной у рта доказывал, что firejail дырень , а bubblewrap + flatpack надежно. Вот, получи распишись как говорится
     
     
  • 2.99, Аноним (98), 20:40, 21/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только в flatpak доступ к терминалу от пользователя, а в firejail, в аналогичной ситуации, - от рута. Получи и распишись.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру