Nuglaanta Flatpak waxay ogolaatay koodka in lagu fuliyo meel ka baxsan sanduuqa ciid 

nuglaanta

Haddii laga faa'iidaysto, cilladahan waxay u oggolaan karaan weeraryahannada inay helaan macluumaad xasaasi ah oo aan la fasixin ama guud ahaan dhibaatooyi karaan

Dhowr maalmood ka hor ayaa warkaas soo baxay Nuglaanta ayaa laga helay Flatpak (nidaamka loogu talagalay dhisidda, qaybinta iyo socodsiinta jawiga codsiyada desktop go'doonsan ee Linux). Lagu soo koobay CVE-2024-32462, oo ay weheliso kala-soocidda CWE-88, baylahda la ogaaday loo oggolaaday in laga baxsado sanduuqa-cammuudka iyadoo loo marayo RequestBackground.

Jilicsanaantaas waxay saamaysaa noocyo gaar ah oo Flatpak ah, saamaynteeduna waxay noqon kartaa mid halis ah, maadaama arji si gaar ah loo nashqadeeyay uu fulin karo kood aan sabab lahayn meel ka baxsan sanduuqa-cammuudda, wax u dhimaya macluumaadka isticmaalaha.

Ku saabsan u nuglaanta CVE-2024-32462

Waxaa lagu xusay u nuglaanta ogolaado codsi xaasidnimo ah ama la jabsaday loo qaybiyey iyadoo la isticmaalayo qaab xidhmo flatpak ah habka go'doominta la dhaafo laga bilaabo goobta imtixaanka oo geli faylalka nidaamka ugu muhiimsan. Dhibaatadani waxay ku dhacdaa oo kaliya xirmooyinka isticmaala Freedesktop portals (xdg-desktop-portal), oo loo isticmaalo in lagu fududeeyo helitaanka agabka deegaanka isticmaalaha ee codsiyada go'doonsan.

Waa suurtogal in loo gudbiyo khadka taliska ee gardarrada ah org.freedesktop.portal.Background.RequestBackground interface interface ka Flatpak. Caadi ahaan tani waa badbaado, sababtoo ah waxaad kaliya sheegi kartaa amar ka jira jawiga sandbox; Laakin marka shayga xarriiqda taliska ah loo rogo -waa amarrada iyo, arjigu wuxuu gaari karaa saameyn la mid ah in doodaha si toos ah loogu gudbiyo qoraal, si loo gaaro badbaadada sanduuqa ciid.

Xalku waa Flatpak inuu isticmaalo -to bwrap doodda, taas oo keenta inay joojiso xulashooyinka habaynta, ka hor inta aan lagu darin amarka uu cayimay weerarka. Doodda ayaa la taageeray tan iyo xumbada 0.3.0, iyo dhammaan noocyada la taageeray ee Flatpak waxay mar hore u baahan yihiin ugu yaraan nooca xumbada.

Ka faa'iidaysiga dayacanka u ogolaanaya codsiga ku jira sanduuqa ciid inuu isticmaalo xdg-desktop-portal interface si loo abuuro fayl «.desktop» oo leh amar ka soo bilaabaya arjiga flatpak, sidaas darteed u oggolaanaya gelitaanka faylasha nidaamka ugu weyn.

Nuxurka nuglaanshaha kuu ogolaanaya inaad ka baxsato sanduuqa ciidda been dooddu – amar de flatpak orod, kaas oo la filayo inuu helo amar lagu socodsiiyo arjiga Flatpak ee la cayimay, oo ay weheliso doodo ikhtiyaari ah. Iyada oo la adeegsanayo cabbirka «– amar", kaas oo loo isticmaalo in lagu gudbiyo magaca barnaamijka, waxaa suurtagal ahayd in la gudbiyo magac ikhtiyaari ah, tusaale ahaan – xidhid, tanna waxaa si khaldan loo fasiray sidii ikhtiyaarka qallafsan si loogu socodsiiyo barnaamijka la cayimay ee xirmada dhexdeeda, deegaan go'doonsan.

Tusaale wax ku ool ah oo tan ah lagu sheegay, waa in lagu socodsiiyo utility ls deegaan xirmo go'doon ah, waxaad isticmaashaa wax la mid ah kan:

"flatpak run --command=ls org.gnome.gedit"

Kaas oo fulin doona:

"bwrap ...lots of stuff... --bind / /host ls -l /host".

Xaaladdan oo kale, magaca "-bind" looma tixgalin doono magaca codsiga si uu u shaqeeyo, laakiin waa ikhtiyaarka duuban.

Sidan oo kale, baylahdu waxay ku jirtaa xaqiiqda ah in haddii magaca barnaamijku ka bilaabo jilayaasha «–«, utility bwrap waxay u fasiri doontaa ikhtiyaarkeeda. Asal ahaan, u dirida amarada habkan looma tixgelinin khatar, maadaama ay ku ordi lahaayeen deegaan go'doonsan xirmada. Si kastaba ha ahaatee, xisaabta laguma darin in amarrada ka bilaabma "-" loo tarjumi doono ikhtiyaarka utility bwrap. Natiijo ahaan, xdg-desktop-portal interface ayaa laga faa'iidaysan karaa si loo abuuro faylka ".desktop" oo leh amar ka faa'iidaysanaya nugulkan.

Doodda - waa la taageeray tan iyo xumbada 0.3.0, iyo dhammaan noocyada la taageeray ee Flatpak waxay mar hore u baahan yihiin ugu yaraan nooca xumbada. Waxaa lagu xusay in mid ka mid ah xalalka waa nooca 1.18.4 ee xdg-desktop-portal mar dambe uma ogola Flatpak codsiyada inay abuuraan faylal cusub .desktop ee amarrada ka bilaabma -.

Ugu dambeyntii, waxaa mudan in la xuso in nuglaanta lagu saxay noocyada la dhejiyay ee Flatpak 1.15.8, 1.14.6, 1.12.9 iyo 1.10.9. Intaa waxaa dheer, hagaajin amniga ayaa lagu soo jeediyay xdg-desktop-portal noocyada 1.16.1 iyo 1.18.4.

Waxaad hubin kartaa nooca Flatpak aad haysato adiga oo socodsiinaya amarka soo socda:

flatpak --version

Haddii aad ku jirto nooca nugul ama haddii aad rabto inaad cusboonaysiiso nooca Flatpak, kaliya fuli mid ka mid ah amarada soo socda:

Ubuntu/Debian iyo soosaarayaasha:

sudo apt upgrade flatpak

RHEL/Fedora iyo soosaarayaasha:

sudo dnf upgrade flatpak

Arch Linux iyo noocyo kala duwan:

sudo pacman -Syu flatpak

Naps xiiseynaya in aan wax badan ka ogaado, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.