Рекомендация Debian по безопасности

DSA-4830-1 flatpak -- обновление безопасности

Дата сообщения:
14.01.2021
Затронутые пакеты:
flatpak
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2021-21261.
Более подробная информация:

Саймон Маквитти обнаружил ошибку в службе flatpak-portal, которая может позволить приложениям в песочнице выполнять произвольный код в основной системе (выход из песочницы).

Служба D-Bus Flatpak portal (flatpak-portal, также известная по имени службы D-Bus org.freedesktop.portal.Flatpak) позволяет приложениям в песочнице Flatpak запускать собственные подпроцессы в новом экземпляре песочницы с теми же настройками безопасности как и вызывающее приложение или с более ограниченными настройками безопасности. Например, это используется в запускаемом с помощью Flatpak веб-браузере Chromium для запуска подпроцессов, которые обрабатывают недоверенное веб-содержимое, и предоставления этим подпроцессам более ограниченной песочницы, чем та, что используется для самого браузера.

В уязвимых версиях служба Flatpak portal передаёт специфичные для вызывающего приложения переменные окружения процессам вне песочницы в основной системе, в частности, команде flatpak run, используемой для запуска нового экземпляра песочницы. Вредоносное или скомпрометированное Flatpak-приложение может выставить переменные окружения, которым доверяет команда flatpak run, и использовать их для выполнения произвольного кода вне песочницы.

В стабильном выпуске (buster) эта проблема была исправлена в версии 1.2.5-0+deb10u2.

Рекомендуется обновить пакеты flatpak.

С подробным статусом поддержки безопасности flatpak можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/flatpak