Debian Biztonsági Figyelmeztetésben

DSA-4830-1 flatpak -- biztonsági frissítés

Bejelentés dátuma:
2021. jan. 14.
Érintett csomagok:
flatpak
Sebezhető:
Igen
Biztonsági adatbázis hivatkozások:
A Mitre CVE szótárában: CVE-2021-21261.
Bővebb információ:

Simon McVittie felfedezett egy hibát a flatpak-portal szolgáltatásban, ami lehetővé teszi a homokveremben (sandbox) futattott alkalmazásnak, hogy tetszőleges kódot futasson a gazda rendszeren (sandbox escape).

A Flatpak portál D-Bus szolgáltatás (flatpak-portal, vagy más néven org.freedesktop.portal.Flatpak-ként ismerik a D-Bus szolgáltatását) lehetővé teszi a Flatpak homokveremben futtatott alkalmazásoknak, hogy saját alfolyamatot indítsanak egy új homokveremben, ugyanolyan vagy szigorúbb biztonsági beállításokkal, mint a hívó. Például, ezt használják a Flatpak csomagolású böngészőkben, mint például a Chromium, olyan alfolyamatok elindítására, melyek nem megbítható webtartalmat dolgoznak fel és ezeknek az alfolyamatoknak szigorúbb homokvermet adnak, mint maga a böngésző.

A sebezhető verziókban a Flatpak portál szolgáltatás átadja a hívó-specifikus környezeti változókat egy nem homokveremben futó folyamatnak a gazda rendszeren, különösen a flatpak run parancsnak, ami új homokverem példányok indítására használatos. Gyanús vagy kompromittált Flatpak alkalmazás olyan környezeti változókat állíthat be, amelyben a flatpak run parancs megbízik, és tetszőleges parancs futtatására használhatja a homokvermen kívül.

A stabil kiadásban (buster) ez a probléma javításra került a 1.2.5-0+deb10u2 verzióban.

Azt tanácsoljuk, hogy frissítsd a flatpak csomagjaidat.

A flatpak részletes biztonsági állapotáért keresd fel a biztonsági nyomkövető oldalát: https://security-tracker.debian.org/tracker/flatpak