FERRAMENTAS LINUX: O Flatpak 1.2.4 foi liberado para resolver o problema de segurança - Vulnerabilidade de desvio de sandbox

quarta-feira, 27 de março de 2019

O Flatpak 1.2.4 foi liberado para resolver o problema de segurança - Vulnerabilidade de desvio de sandbox




Confira !!



O Flatpak 1.2.4 foi lançado hoje como uma liberação de emergência para resolver uma nova vulnerabilidade CVE. 

O CVE-2019-10063 é uma vulnerabilidade do Flatpak que afeta as versões que remontam à série 0.8, o que permite um possível desvio da sua sandbox. 

Anteriormente, o Flatpak foi corrigido para resolver o CVE-2017-5226, que é uma vulnerabilidade em que uma sessão sem privilégios pode escapar da sessão pai em uma caixa de proteção usando o TIOCSTI ioctl (o TIOCSTI é usado para falsificar a entrada na fila de entrada) a caixa de areia. Mas dois anos mais tarde, descobriu-se que o endereçamento do antigo CVE usando um filtro SECCOMP era inadequado em plataformas de 64 bits. Até agora no Flatpak em plataformas de 64 bits, o sandbox ainda podia ser contornado / escapado, pois o filtro não era manipulado adequadamente em arquiteturas de 64 bits. Detalhes em CVE-2019-10063

Como resultado, o Flatpak 1.2.4 foi lançado com a mitigação adequada. 

Esta atualização do Flatpak também tem tratamento para várias placas gráficas NVIDIA no mesmo sistema, uma correção para o Gentoo e outras plataformas em torno do XDG_RUNTIME_DIR sendo um link simbólico, um possível travamento ao atualizar aplicações, e garantindo trabalhos em arquivos flatpak . 

Para aqueles que estão na série 1.0 Flatpak mais antiga, o Flatpak 1.0.8 também foi lançado esta manhã

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário