Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5049-1 flatpak

Debians sikkerhedsbulletin

DSA-5049-1 flatpak -- sikkerhedsopdatering

Rapporteret den:

20. jan 2022

Berørte pakker:

flatpak

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2021-43860, CVE-2022-21682.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Flatpak, et applikationsudrulningsframework til skrivebordsapplikationer.

• CVE-2021-43860

  Ryan Gonzalez opdagede at Flatpak ikke på korrekt vis validerede om rettighederne, der vises for en bruger vedrørende en applikation på installeringstidspunktet, svarer til de faktiske rettigheder, som er tildelt applikationen på kørselstidspunktet. Ondsindede applikationer kunne derfor tildele sig selv rettigheder, uden brugerens samtykke.

• CVE-2022-21682

  Flatpak forhindrede ikke altid en ondsindet bruger af flatpak-builder i at skrive til det lokale filsystem.

I den stabile distribution (bullseye), er disse problemer rettet i version 1.10.7-0+deb11u1.

Bemærk at flatpak-builder af kompabilitetshensyn også skulle opdateres, og er nu tilgængelig som version 1.0.12-1+deb11u1 i bullseye.

Vi anbefaler at du opgraderer dine flatpak- og flatpak-builder-pakker.

For detaljeret sikkerhedsstatus vedrørende flatpak, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/flatpak