Sikkerhedsoplysninger / 2021 / Sikkerhedsoplysninger -- DSA-4984-1 flatpak

Debians sikkerhedsbulletin

DSA-4984-1 flatpak -- sikkerhedsopdatering

Rapporteret den:

12. okt 2021

Berørte pakker:

flatpak

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 995935.
I Mitres CVE-ordbog: CVE-2021-41133.

Yderligere oplysninger:

Man opdagede at sandkassebegrænsninger i Flatpak, et applikationsudrulningsframework til skrivebordsapps, kunne omgås for en Flatpak-app med direkte adgang til AF_UNIX-sockets, ved at manipulere med VFS'en med brug af mount-relaterede syscalls, som ikke er blokeret af Flatpaks denylist-seccomp-filter.

Flere oplysninger finder man i opstrøms bulletin på https://github.com/flatpak/flatpak/security/advisories/GHSA-67h7-w3jq-vh4q

I den stabile distribution (bullseye), er dette problem rettet i version 1.10.5-0+deb11u1.

Vi anbefaler at du opgraderer dine flatpak-pakker.

For detaljeret sikkerhedsstatus vedrørende flatpak, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/flatpak