Flatpak修补程序解决了主要沙盒泄漏缺陷

依赖Flatpak运行沙盒桌面应用程序的Linux用户可能需要注意最近的一个发现。

在Flatpak中发现了一个名为CVE-2024-32462的新漏洞，该漏洞可能允许恶意应用程序在其安全环境之外执行命令。

通常，在Flatpak中运行的应用程序被限制在一个安全的环境中，无法与更广泛的系统交互。此设置旨在防止任何流氓应用程序损害底层系统。

然而，Gergo Koteles最近发现了一个缺陷，即Flatpak应用程序可以通过涉及xdg桌面门户接口的机制绕过这种安全性。

缺陷集中在滥用
命令
参数，可能会无意中被诱骗执行其他命令。攻击者可以通过输入一个序列来操纵系统在Flatpak沙箱之外执行任意命令，该序列包括
绑定
.

这可能会使受损的应用程序对用户的系统造成更广泛的危害，破坏Flatpak的主要安全功能。

谢天谢地
Flatpak团队已及时对此漏洞进行了修补
。强烈鼓励用户将他们的Flatpak安装更新到以下版本，以确保它们受到保护：

• 对于稳定分支上的用户，Flatpak版本1.14.6或更新版本。
• 对于那些在较老的稳定分支上的人来说，版本1.12.9或1.10.9是安全的选择。
• 使用开发分支的开发人员应更新到1.15.8或更高版本。

请注意，不再支持Flatpak的1.10.9以上版本，包括整个1.8.x系列，也不会收到此重要更新。

您可以执行一个简单的测试来验证您的系统是否受到影响。安装任何Flatpak应用程序并使用
--command=--帮助
然后是应用程序的ID。如果系统返回错误消息，说明找不到帮助命令，则Flatpak安装不易受攻击。

但是，如果它显示的输出与
bwrap--帮助
命令，这意味着您的版本仍有风险。

有关更多详细信息和持续更新，请访问Flatpak在GitHub上的官方安全咨询页面。