Flatpak修补程序解决了主要沙盒泄漏缺陷
依赖Flatpak运行沙盒桌面应用程序的Linux用户可能需要注意最近的一个发现。
在Flatpak中发现了一个名为CVE-2024-32462的新漏洞,该漏洞可能允许恶意应用程序在其安全环境之外执行命令。
通常,在Flatpak中运行的应用程序被限制在一个安全的环境中,无法与更广泛的系统交互。此设置旨在防止任何流氓应用程序损害底层系统。
然而,Gergo Koteles最近发现了一个缺陷,即Flatpak应用程序可以通过涉及xdg桌面门户接口的机制绕过这种安全性。
缺陷集中在滥用
命令参数,可能会无意中被诱骗执行其他命令。攻击者可以通过输入一个序列来操纵系统在Flatpak沙箱之外执行任意命令,该序列包括
绑定.
这可能会使受损的应用程序对用户的系统造成更广泛的危害,破坏Flatpak的主要安全功能。
谢天谢地
Flatpak团队已及时对此漏洞进行了修补
。强烈鼓励用户将他们的Flatpak安装更新到以下版本,以确保它们受到保护:
- 对于稳定分支上的用户,Flatpak版本1.14.6或更新版本。
- 对于那些在较老的稳定分支上的人来说,版本1.12.9或1.10.9是安全的选择。
- 使用开发分支的开发人员应更新到1.15.8或更高版本。
请注意,不再支持Flatpak的1.10.9以上版本,包括整个1.8.x系列,也不会收到此重要更新。
您可以执行一个简单的测试来验证您的系统是否受到影响。安装任何Flatpak应用程序并使用
--command=--帮助然后是应用程序的ID。如果系统返回错误消息,说明找不到帮助命令,则Flatpak安装不易受攻击。
但是,如果它显示的输出与
bwrap--帮助命令,这意味着您的版本仍有风险。
有关更多详细信息和持续更新,请访问Flatpak在GitHub上的官方安全咨询页面。
