Vulnerability BDU:2024-03113: Information
Description
Уязвимость интерфейса xdg-desktop-portal инструмента для управления приложениями и средами Flatpak, позволяющая нарушителю выйти из изолированной программной среды и получить доступ к файлам в базовой системе
Severity: HIGH (8.4) Vector: AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Fixed packages
Package name | Branch | Fixed in version | Version from repository | Errata ID | Task # | State |
|---|---|---|---|---|---|---|
| flatpak | sisyphus | 1.14.6-alt1 | 1.14.8-alt1 | ALT-PU-2024-6954-1 | 345598 | Fixed |
| flatpak | sisyphus_e2k | 1.14.6-alt1 | 1.14.8-alt1 | ALT-PU-2024-7009-1 | - | Fixed |
| flatpak | sisyphus_riscv64 | 1.14.6-alt1 | 1.14.8-alt1 | ALT-PU-2024-7001-1 | - | Fixed |
| flatpak | sisyphus_loongarch64 | 1.14.6-alt1 | 1.14.8-alt1 | ALT-PU-2024-7043-1 | - | Fixed |
| flatpak | p10 | 1.14.6-alt1 | 1.14.6-alt1 | ALT-PU-2024-6956-2 | 345600 | Fixed |
| flatpak | p10_e2k | 1.14.6-alt1 | 1.14.6-alt1 | ALT-PU-2024-7011-1 | - | Fixed |
| flatpak | p11 | 1.14.6-alt1 | 1.14.8-alt1 | ALT-PU-2024-6954-1 | 345598 | Fixed |
| xdg-desktop-portal | sisyphus_e2k | 1.18.4-alt1 | 1.18.4-alt1 | ALT-PU-2024-6935-1 | - | Fixed |
| xdg-desktop-portal | sisyphus_riscv64 | 1.18.4-alt1 | 1.18.4-alt1 | ALT-PU-2024-6880-1 | - | Fixed |
| xdg-desktop-portal | sisyphus_loongarch64 | 1.18.4-alt1 | 1.18.4-alt1 | ALT-PU-2024-6893-1 | - | Fixed |
References to Advisories, Solutions, and Tools
| Vulnerability Status | Подтверждена производителем |
| Presence of an exploit | Существует в открытом доступе |
| Fix status | Уязвимость устранена |
| Software Type | Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства |
| Solution | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование при запуске нестатической команды bwrap «--»; - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей. Использование рекомендаций производителя: https://github.com/flatpak/flatpak/commit/72016e3fce8fcbeab707daf4f1a02b931fcc004d https://github.com/flatpak/flatpak/commit/81abe2a37d363f5099c3d0bdcd0caad6efc5bf97 https://github.com/flatpak/flatpak/commit/b7c1a558e58aaeb1d007d29529bbb270dc4ff11e https://github.com/flatpak/flatpak/commit/bbab7ed1e672356d1a78b422462b210e8e875931 https://github.com/flatpak/flatpak/security/advisories/GHSA-phv6-cpc2-2fgj Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ |
| Sources | https://github.com/flatpak/flatpak/commit/72016e3fce8fcbeab707daf4f1a02b931fcc004d https://github.com/flatpak/flatpak/commit/81abe2a37d363f5099c3d0bdcd0caad6efc5bf97 https://github.com/flatpak/flatpak/commit/b7c1a558e58aaeb1d007d29529bbb270dc4ff11e https://github.com/flatpak/flatpak/commit/bbab7ed1e672356d1a78b422462b210e8e875931 https://github.com/flatpak/flatpak/security/advisories/GHSA-phv6-cpc2-2fgj http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ |
| Other system identifiers |