The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость во Flatpak, позволяющая обойти режим изоляции"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от opennews (??), 24-Янв-21, 20:08 
В инструментарии для создания самодостаточных пакетов  Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но позднее в исправлении всплыло регрессивное изменение, вызывающее проблемы при сборке на системах с прослойкой bubblewrap, установленной с флагом setuid. Регрессия устранена в выпуске 1.10.1 (обновление для ветки 1.8.x пока недоступно)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54461

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +29 +/
Сообщение от Аноним (1), 24-Янв-21, 20:08 
Уязвимость в Flatpak, позволяющая сделать ненужное нужным?
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от VINRARUS (ok), 25-Янв-21, 00:15 
Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от Аноним (52), 25-Янв-21, 01:08 
Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от An O Nim (?), 25-Янв-21, 09:31 
Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари.

Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко.

Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install *src*deb

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от Аноньимъ (ok), 25-Янв-21, 14:13 
>А вот классическое устройство дистрибутива позволяет легко получить и собрать все части
>apt

Не позволяет.
Депенденси Хелл протухшие либы и конфликты зависимостей.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –2 +/
Сообщение от Аноним (98), 25-Янв-21, 23:38 
Таких проблем не существует.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от An O Nim (?), 29-Янв-21, 13:20 
Типа того.

В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны.

Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (106), 31-Янв-21, 15:37 
Именно поэтому, я за NixOS!
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

2. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +14 +/
Сообщение от Аноним (2), 24-Янв-21, 20:09 
Snap нужнее не стал.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от ОхотникНаОленей (?), 24-Янв-21, 23:09 
Почему? Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, когда каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки, и другие не могут, т.к. монтируется snapfs с целоостностью бинарников.

Всякие телеграмы, хромы, прочая снедь, ей самое место в снап, так надёжнее и дешевле чем заводить lxd или kata-containers для каждого.

У известных пакетов типа apache, mysql я понимаю по своему юзер/группе и это решается стандартными правами.

Но заводить по юзеру на каждое прикладное? И как оно в десктопе, в контексте одного $home жить будет?

Умных все корчат и вторят ернуду.

А ещё в snap унифицирован контроль над ресурсами приложению, можно в один чих дать или нет интернет/сеть приложению, дать или нет соединению с другими, микрофон, камера, все все видно что потребляет приложение и можно дать/забрать.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Аноним (33), 24-Янв-21, 23:21 
> когда каждая софтина живёт в своём snap-окружении

Как и во флатпак

> А ещё в snap унифицирован контроль над ресурсами приложению

Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы

Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +3 +/
Сообщение от Анон1632776693 (?), 25-Янв-21, 02:51 
Охотник на оленей поймал оленя за рога
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ОхотникНаОленей (?), 26-Янв-21, 07:34 
Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака свои фишки есть.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

102. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ОхотникНаОленей (?), 26-Янв-21, 18:51 
> Как и в Flatpak

Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше

> Когда нибудь найдут дыру и в snap

Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

44. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +5 +/
Сообщение от Аноним (44), 25-Янв-21, 00:48 
Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

53. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (52), 25-Янв-21, 01:09 
Неее, через пару лет всё это выкинут и напишут флетснапак.
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от муу (?), 25-Янв-21, 01:50 
системд-флетснаппакд
Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от Аноним (90), 25-Янв-21, 11:30 
к тому времени все перейдут на фрю
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

73. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –1 +/
Сообщение от лютый жабби__ (?), 25-Янв-21, 08:44 
>телеграмы

веб-версия

>хромы

chromium из под su, смысл его песочить, самый секурный браузер )

>прочая снедь

еда? может просто совсем не устанавливать откровенное гомно?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

104. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Щас начнем анонимно (?), 27-Янв-21, 12:00 
"...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..."
Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

87. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +4 +/
Сообщение от Аноним (87), 25-Янв-21, 11:10 
Нет, только AppImage.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +7 +/
Сообщение от Аноним (3), 24-Янв-21, 20:10 
> несмотря на наличие в описании пакета метки "sandboxed"

Шедевр, девляпсы!!!

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от Аноним (7), 24-Янв-21, 20:20 
смузихлебы
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –5 +/
Сообщение от Аноним (7), 24-Янв-21, 20:20 
растофаны
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от An O Nim (?), 25-Янв-21, 09:34 
Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –2 +/
Сообщение от Аноним (2), 24-Янв-21, 20:10 
FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ilyafedin (ok), 24-Янв-21, 20:58 
у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Аноним (44), 25-Янв-21, 00:34 
Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему.
Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ilyafedin (ok), 25-Янв-21, 00:35 
> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и
> поделия на електроне прекрасно работают без доступа вообще ко всему.
> Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета
> неможет в сандбокс. Там одну строку изменить.

Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (44), 25-Янв-21, 00:40 
Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (44), 25-Янв-21, 00:42 
А еще. если совсем все плохо да. можно сделать вот так
mkdir /home/user/fakehome_forapp
HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ilyafedin (ok), 25-Янв-21, 00:52 
> Ммм, файловый диалог видит вообще-то все, если он системный. И еще и
> может передать ОДИН файл в прогу. Обнови flatpak дружище.

"системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют.
Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

43. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (44), 25-Янв-21, 00:46 
ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka.
Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

47. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от ilyafedin (ok), 25-Янв-21, 00:54 
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.

Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов.
https://github.com/electron/electron/pull/19159

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от ilyafedin (ok), 25-Янв-21, 00:56 
> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.

Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

5. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от Аноним (5), 24-Янв-21, 20:14 
Суидные бинарники, опять суидные бинарники. И почему меня никто не слушает?
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (5), 24-Янв-21, 20:16 
Ах да, про порталы я уже тоже ныл. Порталы это тупик, как ни крути.
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (97), 25-Янв-21, 17:53 
Это только в Debian'е, там user namespaces отключено. В Arch'е бинарники без SUID.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

9. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +7 +/
Сообщение от Тов Майор (?), 24-Янв-21, 20:39 
По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страдают от недуга "напихай по больше про безопастнось и непофтормые фичи твоего смузи продукта даже не понимая смысла использованных терминов"
отягощенного транспозицией головного мозга и седалища.
Потому то хипстоподелки видимо и напоминают разваливающиеся китайские игрушки из 90х.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –6 +/
Сообщение от дохтурЛол (?), 24-Янв-21, 20:50 
зачем ты пишешь чушь на опеннете?
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от n00by (ok), 25-Янв-21, 07:39 
Почему чушь? В результате транспозиции межушный ганглий перестаёт быть межушным.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от Аноним (12), 24-Янв-21, 20:53 
Как хорошо, что  все лучшие разработчики мира собрались в комментах на опеннете, так мне спокойней за любимый сайт.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Lex (??), 24-Янв-21, 21:00 
Дык они ж на нем комментят а не кодят :)
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от Аноним (23), 24-Янв-21, 21:18 
Хороший программист умеет грамотно и понятно написать комментарий и пишет их много
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Аноним (52), 24-Янв-21, 20:49 
Без ФэтФака как-то надёжней было.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –2 +/
Сообщение от Аноним (15), 24-Янв-21, 20:58 
На самом деле нет.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (72), 25-Янв-21, 08:39 
На самом деле, да. Не было иллюзии безопасности.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –3 +/
Сообщение от псевдонимус (?), 24-Янв-21, 20:53 
Ну кто бы мог подумать! Дырявые линуксконтейнеры опять показали себя во всей красе.

Но опенвзлевое использовать не будем. Там патчи не шапкины.

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  –1 +/
Сообщение от псевдонимус (?), 24-Янв-21, 20:55 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +5 +/
Сообщение от Онаним (?), 24-Янв-21, 20:59 
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –9 +/
Сообщение от Нанобот (ok), 24-Янв-21, 21:00 
А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak. Вот только во flatpak ошибку исправили и теперь порядок, а deb/rpm как соответствовали дырявыми версиями flatpak, так и останутся такими навсегда
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от VINRARUS (ok), 25-Янв-21, 00:33 
В каком пакете идёт сам flatpak?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от iPony129412 (?), 25-Янв-21, 04:57 
> А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak.

Ну это теория. На практике неочень.

Вот ставишь ты Flatpak пакет криптовалютного кошелька. А его естественно делает левый пионер, не связанный с основным проектом (это обычное явление во Flathub).

Он попионерит, и забьёт, а ты будешь с дырявой версий сидеть с возможностью пенетрации.
Ну или вообще захочет вредонос встроить — сложности не составит. Особых уж проверок нет.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

71. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +4 +/
Сообщение от Аноним (71), 25-Янв-21, 08:37 
В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль сообщества, а во Flathub пакеты публикует непойми кто и проверяют непойми как. Поэтому изоляция запуска содержимого во flatpak должна быть обязательной и полной, но её каждый второй автор пакета отключает. Как следствие, если на пакет не ссылается основной проект как заслуживающий доверия, риски при запуске  flatpak  мало чем отличаются от запуска первого попавшегося в интернете бинарника.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

96. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Нанобот (ok), 25-Янв-21, 16:16 
Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю. Имхо, могли бы запилить какой-нибудь режим повышеной безопасности, не позволяющий устанавливать пакеты со слабой изоляцией...

А насчёт доверия мейнтейнеру - можно, на доверии всё человеческое общество устроено, но я бы всё же предпочёл доверять алгоритму, а не людишкам (компьютеры ненадёжны, люди - ещё ненадёжнее -- из законов мерфи)

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (98), 25-Янв-21, 23:42 
Через deb/rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревшими дырявыми зависимостями.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

26. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –5 +/
Сообщение от Аноним (26), 24-Янв-21, 22:17 
> GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC

Вот он, набор ненужного!) Ну кроме Audacity может быть.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +6 +/
Сообщение от Аноним (33), 24-Янв-21, 22:25 
Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (26), 24-Янв-21, 22:36 
Естественно! :)

> кому что нужно

А мне это не интересно, чего там может быть нужно какой-то обезьянке.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +4 +/
Сообщение от Аноним (1), 24-Янв-21, 22:40 
Во флатпаке - точно не нужно.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

59. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Я твой господин смерд (?), 25-Янв-21, 03:52 
VLC не тронь
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

88. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (87), 25-Янв-21, 11:12 
GIMP не тронь
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

89. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (87), 25-Янв-21, 11:13 
Octave не тронь
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

103. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (103), 27-Янв-21, 01:48 
> GIMP, Inkscape, Audacity и VLC

Эти апликухе есть и в виде AppImage

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

34. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –2 +/
Сообщение от Zitz (?), 24-Янв-21, 23:26 
Base OS + pkg/ports = profit

Зачем они городят какие-то костыли?

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (44), 25-Янв-21, 00:38 
Вот хочу я на debian stable установить новый libreoffice. Или не хочу засырать систему стимом. Или хочу чтоб у меня работал последний месенджер, разрабы которого постоянного обновляют его.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –3 +/
Сообщение от Zitz (?), 25-Янв-21, 00:50 
Вот и нужно сделать, как в нормальных ОС: базовая система и программы отдельно. Windows, macOS, FreeBSD так и работают. Там всегда самый новейший софт при том, что сама система от него вообще никак не зависит.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Dzen Python (ok), 25-Янв-21, 01:05 
Это в которых до 2021 года в \system32 кладутся левые общие либы при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs, где, подумать только, лежат хардилнки на все библиотеки, которые только есть в системе, и без работы с дисмом расплывшуюся до неприличных размеров после пары кумулятивок хрен сожмешь (удалая ненужные обновления, лишая себя возможности отката системы)?
До-до, нам в лянуксах такого шедевра костылестроения только не хватало.
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Zitz (?), 25-Янв-21, 09:47 
А у вас негров линчуют.(c)
Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от анонн (ok), 25-Янв-21, 15:31 
> Это в которых до 2021 года в \system32 кладутся левые общие либы
> при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs,

Это в которых можно вот так:


# mount -o exec /tmp
$ pkg fetch gcc48
# pkg --rootdir /tmp/test add --accept-missing -f /var/cache/pkg/gcc48-4.8.5_13.txz
Installing gcc48-4.8.5_13...
pkg: Missing dependency 'binutils'
pkg: Missing dependency 'gmp'
pkg: Missing dependency 'indexinfo'
pkg: Missing dependency 'mpc'
pkg: Missing dependency 'mpfr'
Extracting gcc48-4.8.5_13: 100%
...
Unsupported by upstream since 2015. Use GCC 10 or newer instead
$ /tmp/test/usr/local/bin/gcc48 -v
Using built-in specs.
COLLECT_GCC=/tmp/test/usr/local/bin/gcc48
COLLECT_LTO_WRAPPER=/tmp/test/usr/local/bin/../libexec/gcc48/gcc/x86_64-portbld-freebsd12.1/4.8.5/lto-wrapper
Target: x86_64-portbld-freebsd12.1
Configured with: /wrkdirs/usr/ports/lang/
...
/info/gcc48 --build=x86_64-portbld-freebsd12.1
Thread model: posix
gcc version 4.8.5 (FreeBSD Ports Collection)

но да, можно вместо этого попетросянить о венде и заявить "нищитаица!!1"
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

49. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Dzen Python (ok), 25-Янв-21, 00:59 
> На дебиан-стейбл

Наркоман.
Зачем пихать в сервер-ориентед ор критикал-воркстайшн (с заранее известной смесью рабочих приложений) но-гуй-бест-вей сборку дебиана, ради которой и затевается вся это мура с фильтрацией sid-unstable-testing, патчами и заморозками мокрокисечный софт. Ну или околопрориентарь, вроде стимов/мессенджеров?
Нет, просто ход мыслей непонятен.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

76. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (76), 25-Янв-21, 09:02 
Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужной мне проги одновременно, ну или просто взять ту, которая нужна, не важно, новая она или старая?
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Dzen Python (ok), 25-Янв-21, 09:08 
Специально под такие потребности есть хипстерские зборачки, вроде никос.
Зачем тянуть в специально стабилизированную систему проприентарь?
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –1 +/
Сообщение от Аноним (76), 25-Янв-21, 09:16 
> хипстерские зборачки, вроде никос

Который ничем не лучше флатпака

> Зачем тянуть в специально стабилизированную систему проприентарь?

Потому что хочу. Ну надо.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –1 +/
Сообщение от Аноним (52), 25-Янв-21, 01:15 
> Вот хочу я ... новый ...

Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо libc вшита в пакет, но требует новое ядро. И нифига в этом фэтфаке у тебя не работает.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

66. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Аноним (66), 25-Янв-21, 06:42 
Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд. Он для того такой дистр и выбрал.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

86. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (86), 25-Янв-21, 10:44 
я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр (точнее одна из причин). А вот новое оно или нет, мне как-то без разницы в большинстве случаев.
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноньимъ (ok), 25-Янв-21, 14:21 
Попробуйте Guix!
Он решит все ваши проблемы.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

100. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (98), 25-Янв-21, 23:45 
Не надо в нормальных системах этого костыля. Когда один и тот же софт нужно обновлять размыми несовместимыми способами, системный openssl конфликтует с портовым, и в системе всегда есть сендмейл и прочее никому ненужное говно которое простым способом не удалить. FreeBSD переедет целиком на пакеты рано или поздно.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

39. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от VINRARUS (ok), 25-Янв-21, 00:37 
Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Linux в контейнере виртуалки запускать, а лучше ещо пару вложеных контейнера в контейнере?
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +5 +/
Сообщение от Dzen Python (ok), 25-Янв-21, 01:01 
Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксовой виртуалки на линуксовом гипервизоре.
Базарю, хакеры сами тебе денег отсыпят, лишь бы перестал так упарываться
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (57), 25-Янв-21, 02:01 
А если бы написать на Раст...
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  –4 +/
Сообщение от Аноним (52), 25-Янв-21, 04:21 
равносильно x10 росту дыр + утечка памяти.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от leibniz (??), 25-Янв-21, 04:27 
> атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc

Ток баш? Или zsh или рыбку по аналогии?

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от iPony129412 (?), 25-Янв-21, 09:25 
Хоть что.
Можно и скриптов в пользовательский авторан засунуть.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +3 +/
Сообщение от Аноним (63), 25-Янв-21, 04:55 
А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать? В Android вот есть изоляция приложений и разграничение прав, и что, мало малвари на Гуглплее? Только видимость безопасности и больше защита интересов издателей, а не пользователей.

Может лучше не изолировать, а интегрировать? Ущербна сама концепция "приложений". ОС должна быть расширяемой, дополняться новыми функциями, которые можно произвольно сочетать для решения своих задач. А сейчас мы имеем коллекцию виртуальных устройств: вот вам программа-калькулятор, а вот печатная машинка, и что-то для рисования: можно использовать одно или другое — они как отдельные предметы, которые лежали на физическом рабочем столе, только переключаться между ними стало немного легче. Юникс и ГНУ/Линукс были именно расширяемыми системами, но для графического интерфейса взяли коммерчески-ориентированный десктоп с приложениями, унаследованный от Мака и Виндовс, вместо того, чтобы ориентироваться на изначальные (еще не извращенные) идеи графического интерфейса PARC.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (52), 25-Янв-21, 05:58 
> В Android вот есть изоляция приложений и разграничение прав

А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на всё на свете, иначе отказывается работать.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Dzen Python (ok), 25-Янв-21, 09:00 
Открываешь для себя fdroid
@
Оказывается, что софт может работать с минимумом разрешений
Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноним (52), 25-Янв-21, 09:48 
Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом разрешений.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от iPony129412 (?), 25-Янв-21, 07:13 
А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложения - это целое дело, требующее серьёзного разбирательства: "а как же это? а кто этим занимается? как это сделать?".

https://github.com/flatpak/flatpak.github.io/issues/450

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +1 +/
Сообщение от Аноним (70), 25-Янв-21, 08:17 
Эта ссылка должна была быть в первом же комментарии про flatpak: http://flatkill.org/2020/

NixOS и GNU Guix System - наше всё.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Gnus (?), 25-Янв-21, 08:55 
Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у тебя есть non-free, а так приходится собирать самому ядро с доступом к firmware, без которых AMD карты - тыквы.
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноньимъ (ok), 25-Янв-21, 14:24 
Вы можете гуикс на любой линукс установит.
Ос же на основе гуикса называется GuixSD.
Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от Аноньимъ (ok), 25-Янв-21, 14:26 
Но я согласен что нужна нонфри версия. Ну или возможность это легко включить.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

77. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +2 +/
Сообщение от Dzen Python (ok), 25-Янв-21, 09:02 
Системы все так же отжирают собой все доступное место, спасая диск от юзерских файлов?
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

83. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от iPony129412 (?), 25-Янв-21, 09:43 
Что то, что это — сплошная пионерия на палках и этом самом.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру