शोषण केल्यास, या त्रुटी हल्लेखोरांना संवेदनशील माहितीवर अनधिकृत प्रवेश मिळवू शकतात किंवा सामान्यत: समस्या निर्माण करू शकतात
काही दिवसांपूर्वी ही बातमी प्रसिद्ध झाली होती Flatpak मध्ये एक असुरक्षितता आढळली (लिनक्सवर पृथक डेस्कटॉप ऍप्लिकेशन वातावरण तयार करणे, वितरण करणे आणि चालवणे यासाठी सिस्टम). CVE-2024-32462 अंतर्गत कॅटलॉग, CWE-88 वर्गीकरणासह, भेद्यता शोधली गेली RequestBackground द्वारे सँडबॉक्समधून बाहेर पडण्याची परवानगी दिली.
ही असुरक्षितता Flatpak च्या काही विशिष्ट आवृत्त्यांना प्रभावित करते, आणि त्याचा प्रभाव गंभीर असू शकतो, कारण विशेष डिझाइन केलेला अनुप्रयोग वापरकर्त्याच्या माहितीशी तडजोड करून, सँडबॉक्सच्या बाहेर अनियंत्रित कोड कार्यान्वित करू शकतो.
असुरक्षा सीव्हीई-2024-32462 बद्दल
असे नमूद केले आहे असुरक्षा दुर्भावनापूर्ण किंवा तडजोड केलेल्या अनुप्रयोगास अनुमती देते फ्लॅटपॅक पॅकेज फॉरमॅट वापरून वितरित केले बायपास अलगाव मोड चाचणी क्षेत्रातून आणि मुख्य सिस्टम फाइल्समध्ये प्रवेश करा. ही समस्या फक्त फ्रीडेस्कटॉप पोर्टल्स (xdg-desktop-portal) वापरणाऱ्या पॅकेजेसमध्ये उद्भवते, ज्याचा वापर वापरकर्त्याच्या वातावरणातील संसाधनांमध्ये प्रवेश सुलभ करण्यासाठी केला जातो.
फ्लॅटपॅक ऍप्लिकेशनमधून org.freedesktop.portal.Background.RequestBackground पोर्टल इंटरफेसवर अनियंत्रित कमांडलाइन इंटरफेस पास करणे शक्य आहे. हे सहसा सुरक्षित असते, कारण तुम्ही फक्त सँडबॉक्स वातावरणात अस्तित्वात असलेली कमांड निर्दिष्ट करू शकता; परंतु जेव्हा क्राफ्ट केलेल्या कमांडलाइन ऑब्जेक्टला –commandarguments मध्ये रूपांतरित केले जाते आणि, ऍप्लिकेशन थेट bwrapy मध्ये वितर्क पास करण्याचा समान प्रभाव प्राप्त करू शकतो, अशा प्रकारे सँडबॉक्स एस्केप साध्य करू शकतो.
हल्लेखोराने निर्दिष्ट केलेली कमांड जोडण्यापूर्वी Flatpak ने -to bwrap युक्तिवाद वापरणे हा उपाय आहे, ज्यामुळे ते प्रक्रिया पर्याय थांबवते. -अर्ग्युमेंटला बबलरॅप 0.3.0 पासून समर्थन दिले गेले आहे आणि फ्लॅटपॅकच्या सर्व समर्थित आवृत्त्यांसाठी आधीपासूनच बबलरॅपची किमान ती आवृत्ती आवश्यक आहे.
या अगतिकतेचे शोषण सँडबॉक्समधील ऍप्लिकेशनला xdg-डेस्कटॉप-पोर्टल इंटरफेस वापरण्याची अनुमती देते फाइल तयार करण्यासाठी «.डेस्कटॉप» फ्लॅटपॅक वरून ऍप्लिकेशन सुरू करणाऱ्या कमांडसह, अशा प्रकारे मुख्य सिस्टमवरील फायलींमध्ये प्रवेश करण्यास अनुमती देते.
भेद्यतेचे सार जे आपल्याला सँडबॉक्स टाळण्यास अनुमती देते युक्तिवाद खोटे आहे - आदेश de फ्लॅटपाक रन, ज्याने काही पर्यायी युक्तिवादांसह, निर्दिष्ट फ्लॅटपॅक ऍप्लिकेशनमध्ये रन करण्यासाठी कमांड प्राप्त करणे अपेक्षित होते. पॅरामीटरमध्ये फेरफार करून «- आदेश«, जे प्रोग्रामचे नाव पास करण्यासाठी वापरले जाते, पर्याय नाव पास करणे शक्य होते, उदाहरणार्थ -बांधणे, आणि एका वेगळ्या वातावरणात, पॅकेजमध्ये निर्दिष्ट प्रोग्राम चालविण्यासाठी bwrap पर्याय म्हणून याचा चुकीचा अर्थ लावला गेला.
याचे व्यावहारिक उदाहरण उल्लेख केला आहे, ls युटिलिटी एका वेगळ्या पॅकेज वातावरणात चालवण्यासाठी आहे, तुम्ही यासारखे काहीतरी वापरता:
"flatpak run --command=ls org.gnome.gedit"
जे कार्यान्वित करेल:
"bwrap ...lots of stuff... --bind / /host ls -l /host".
या प्रकरणात, नाव "–bind" हे चालवण्याच्या ॲप्लिकेशनचे नाव मानले जाणार नाही, तर एक bwrap पर्याय मानले जाईल.
त्यामुळे, असुरक्षितता या वस्तुस्थितीमध्ये आहे की जर प्रोग्रामचे नाव «–« अक्षरांनी सुरू झाले तर, bwrap युटिलिटी त्याचा स्वतःचा पर्याय म्हणून अर्थ लावेल. मूलतः, अशा प्रकारे आदेश पाठवणे धोकादायक मानले जात नव्हते, कारण ते पॅकेजमधून वेगळ्या वातावरणात चालतील. तथापि, "–" ने सुरू होणाऱ्या आदेशांचा bwrap युटिलिटीद्वारे पर्याय म्हणून अर्थ लावला जाईल हे लक्षात घेतले नाही. परिणामी, xdg-desktop-portal इंटरफेसचा उपयोग ".desktop" फाइल तयार करण्यासाठी कमांडसह केला जाऊ शकतो जो या भेद्यतेचा फायदा घेतो.
युक्तिवाद - बबलरॅप 0.3.0 पासून समर्थित आहे, आणि Flatpak च्या सर्व समर्थित आवृत्त्यांसाठी आधीच बबलरॅपची किमान ती आवृत्ती आवश्यक आहे. असा उल्लेख आहे उपायांपैकी एक ची ती आवृत्ती 1.18.4 आहे xdg-desktop-portal यापुढे Flatpak ऍप्लिकेशन्सना नवीन फाईल्स तयार करण्याची परवानगी देणार नाही .डेस्कटॉप - ने सुरू होणाऱ्या कमांडसाठी.
शेवटी, हे लक्षात घेण्यासारखे आहे की Flatpak 1.15.8, 1.14.6, 1.12.9 आणि 1.10.9 च्या पॅच केलेल्या आवृत्त्यांमध्ये भेद्यता दुरुस्त केली गेली आहे. याव्यतिरिक्त, xdg-डेस्कटॉप-पोर्टल आवृत्ती 1.16.1 आणि 1.18.4 मध्ये एक सुरक्षा निराकरण प्रस्तावित केले आहे.
खालील आदेश चालवून तुम्ही तुमच्याकडे असलेल्या Flatpak ची आवृत्ती तपासू शकता:
flatpak --version
जर तुम्ही असुरक्षित आवृत्तीवर असाल किंवा तुम्हाला फ्लॅटपॅकची तुमची आवृत्ती अपडेट करायची असेल, तर खालीलपैकी एक कमांड कार्यान्वित करा:
उबंटू/डेबियन आणि डेरिव्हेटिव्ह्ज:
sudo apt upgrade flatpak
RHEL/Fedora आणि डेरिव्हेटिव्ह्ज:
sudo dnf upgrade flatpak
आर्क लिनक्स आणि डेरिव्हेटिव्ह्ज:
sudo pacman -Syu flatpak
आपण असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, आपण तपशील तपासू शकता पुढील लिंकवर