Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5049-1 flatpak

Bulletin d'alerte Debian

DSA-5049-1 flatpak -- Mise à jour de sécurité

Date du rapport :

20 janvier 2022

Paquets concernés :

flatpak

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-43860, CVE-2022-21682.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Flatpak, un cadriciel de déploiement d’applications pour des applications de bureau.

• CVE-2021-43860

  Ryan Gonzalez a découvert que Flatpak ne validait pas correctement si les permissions affichées à l'utilisateur pour une application au moment de son installation correspondaient aux permissions réelles accordées à l'application au moment de son exécution. Des applications malveillantes pourraient par conséquent s'accorder à elles-mêmes des permissions sans l'accord de l'utilisateur.

• CVE-2022-21682

  Flatpak n'empêchait pas toujours un utilisateur malveillant de flatpak-builder d'écrire dans le système de fichiers local.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.10.7-0+deb11u1.

Veuillez noter que flatpak-builder a aussi besoin d'une mise à jour pour des raisons de compatibilité et en est maintenant à la version 1.0.12-1+deb11u1 dans Bullseye.

Nous vous recommandons de mettre à jour vos paquets flatpak et flatpak-builder.

Pour disposer d'un état détaillé sur la sécurité de flatpak, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/flatpak.