https://slinkov.ru/openforum/vsluhforumID3/111565.html В системе Flatpak (http://flatpak.org/), предоставляющей средства для создания самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном изолированном контейнере, выявлена (http://seclists.org/oss-sec/2017/q2/569) опасная уязвимость (https://github.com/flatpak/flatpak/issues/845) (CVE-2017-9780 (https://opennet.ru/CVE-2017-9780)), позволяющая повысить свои привилегии в системе. Проблема устранена в выпуске Flatpak 0.8.7 (https://github.com/flatpak/flatpak/releases/tag/0.8.7) и 0.9.6 (https://github.com/flatpak/flatpak/releases/tag/0.9.6), а также в пакета пакетах для Debian (https://www.debian.org/security/2017/dsa-3895). Уязвимость пока остаётся неисправленной в репозиториях Fedora (https://bodhi.fedoraproject.org/updates/?releases=F25&type=security) и Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9780.html).<br><br><br>Уязвимость позволяет подготовить вредоносный Flatpak-пакет, содержащего файлы некорректными правами доступа, например с фла https://slinkov.ru/openforum/vsluhforumID3/111565.html#39 Tue, 24 Oct 2017 07:20:58 GMT &gt;Серъёзно? Как об этом можно было не подумать?<br><br>Какие мы все умные, с берега-то лучше видно, что на корабле всё не так, как надо.<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#38 Sun, 02 Jul 2017 09:30:42 GMT Зачастую нет ментейнеров для приложения.<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#22 Fri, 23 Jun 2017 17:42:14 GMT Да и вообще все уязвимости сплошной вымысел, какой идиот в наше время будет покупать компьютер, или ещё чего хуже подключать его к сети... бред полый... Прото эти западные хипстеры пугают нас всякой гадостью типа опсных уязвимостях... вот есть лопата, ей всякие setuid не страшны<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#21 Fri, 23 Jun 2017 16:07:50 GMT Да нет, ты неправильно говоришь! В "большой организации"&#8482; все подряд пакеты, даже флатпаки ставятся рутом, у нас лучшие практики, ты уж мне поверь! А если не поверишь, то тогда я полный бред написал, не может же быть такого! Пакет не от рута поставить невозможно...<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#20 Fri, 23 Jun 2017 14:27:39 GMT &gt;&gt;как уговорить другого пользователя и тем более рута поставить твой пакет. <br><br>Очень смешно. Большинство атак идут методом социальной инженерии.<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#19 Fri, 23 Jun 2017 12:20:28 GMT .AppImage<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#18 Fri, 23 Jun 2017 12:04:02 GMT Ну давай сюда такую репу для debian, я ее подключу и ты покажешь, как ты при ее помощи обновишь любой пакет в моей системе в любое удобное для тебя время. <br>Про то, что это вообще не имеет смысла, так как при контроле на репой есть куда более простые и менее заметные способы внедрения трояна, пока говорить не будем. <br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#17 Fri, 23 Jun 2017 11:59:37 GMT А вам не кажется, что с Flatpak'ом фрагментация та же? Только тут "производитель" софта сам поёт своё дуду, как хочет и как умеет. А не факт что умеет норм. Мейнтейнеры же обычно следят за тем, что выпускают.<br> https://slinkov.ru/openforum/vsluhforumID3/111565.html#16 Fri, 23 Jun 2017 10:57:19 GMT Разница в том, что ставя какой-нибудь флетпак, ты ставишь только его, когда как подключенный реп может обновить любой пакет в твоей системе в любое удобное для него время.<br>