Confira !!
O Flatpak 1.2.4 foi lançado hoje como uma liberação de emergência para resolver uma nova vulnerabilidade CVE.
O CVE-2019-10063 é uma vulnerabilidade do Flatpak que afeta as versões que remontam à série 0.8, o que permite um possível desvio da sua sandbox.
Anteriormente, o Flatpak foi corrigido para resolver o CVE-2017-5226, que é uma vulnerabilidade em que uma sessão sem privilégios pode escapar da sessão pai em uma caixa de proteção usando o TIOCSTI ioctl (o TIOCSTI é usado para falsificar a entrada na fila de entrada) a caixa de areia. Mas dois anos mais tarde, descobriu-se que o endereçamento do antigo CVE usando um filtro SECCOMP era inadequado em plataformas de 64 bits. Até agora no Flatpak em plataformas de 64 bits, o sandbox ainda podia ser contornado / escapado, pois o filtro não era manipulado adequadamente em arquiteturas de 64 bits. Detalhes em CVE-2019-10063 .
Como resultado, o Flatpak 1.2.4 foi lançado com a mitigação adequada.
Esta atualização do Flatpak também tem tratamento para várias placas gráficas NVIDIA no mesmo sistema, uma correção para o Gentoo e outras plataformas em torno do XDG_RUNTIME_DIR sendo um link simbólico, um possível travamento ao atualizar aplicações, e garantindo trabalhos em arquivos flatpak .
Para aqueles que estão na série 1.0 Flatpak mais antiga, o Flatpak 1.0.8 também foi lançado esta manhã
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário