The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от opennews (ok), 14-Мрт-21, 07:39 
Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость  (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54755

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Леголас (ok), 14-Мрт-21, 07:39   +6 +/
такая глупость тянется аж с мая 2017
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #14, #26

2. Сообщение от iPony129412 (?), 14-Мрт-21, 07:47   –2 +/
Вообще радует, что исправляют.
Хоть кто-то на это внимание обращает.
Кто прям совсем как-то уровень плинтусный в этом Flatpak.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23, #38

3. Сообщение от Аноним (3), 14-Мрт-21, 08:07   +12 +/
С учётом того, что в большинстве flatpak-пакетов вообще отключают изоляцию (https://flatkill.org/2020/), все эти уязвимости для обхода sandbox выглядят странно.
Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах
filesystem=host или filesystem=home, но в каталоге Flathub помечена флажком sandboxed. Такие пакеты имеют полный доступ ко всей ФС или файлам пользователя, включая .bashrc и прочие автоматически запускаемые сценарии.

Установка flatpak имеет смысл только по ссылкам с сайтов основных проектов и официальных анонсов. Запуская найденный во FlatHub или упомянутый не на официальном сайте flatpak-пакет нужно понимать, что без аудита манифеста это действие мало отличается от запуска левого бинарника, загруженного с первого попавшегося сайта. C supply chain во flathub тоже не всё гладко, нет проверки, что упаковщики именно те, за кого они себя выдают, а не просто Вася назвался участником проекта и начал публиковать собранный на коленке пакет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9

4. Сообщение от VINRARUS (ok), 14-Мрт-21, 09:53   +/
>Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах filesystem=host или filesystem=home

Главная проблема пакетов Flatpak шо нету одной централизованой настройки для всех пакетов.
Я руками права запуска меняю\проверяю после установки, перед первым запуском.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

5. Сообщение от YetAnotherOnanym (ok), 14-Мрт-21, 10:53   +1 +/
> позволяющая автору пакета

Расходимся...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

6. Сообщение от iPony129412 (?), 14-Мрт-21, 10:57   +1 +/
Вообще есть рулон туалетной бумаги 🧻
https://github.com/tchx84/Flatseal
ну так оно эксперементальное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

7. Сообщение от VINRARUS (ok), 14-Мрт-21, 11:21   –1 +/
>JavaScript 95.1%

Теперь ясно откуда такое поэтичное лого.

Но если разведётся много Flatpakов то буду иметь ввиду, дякую.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 14-Мрт-21, 12:53   +3 +/
Flatpack - не для безопасности, а чтобы смузихлёбы вообще могли забить почти на всё, включая безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

10. Сообщение от Аноним (10), 14-Мрт-21, 13:02   +5 +/
Нет флатпака — нет проблем!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

11. Сообщение от dumcha (?), 14-Мрт-21, 13:08   +/
Ага. Сидишь на стабильном LTS но со свеженькими пакетиками. Кто ж откажется!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15

12. Сообщение от Аноним (12), 14-Мрт-21, 13:27   –3 +/
Нет линукса - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13

13. Сообщение от VINRARUS (ok), 14-Мрт-21, 13:41   +1 +/
Нет процесора — нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

14. Сообщение от анонн (ok), 14-Мрт-21, 13:58   +6 +/
> такая глупость тянется аж с мая 2017

The 's' in Flatpak stands for 'security' ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

15. Сообщение от Аноним (9), 14-Мрт-21, 14:05   +/
/0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

16. Сообщение от Аноним (16), 14-Мрт-21, 14:05   –3 +/
Комменты не читал, если в первом же комменте про flatpak нет этой ссылки https://flatkill.org/ - комментаторам незачёт.

Из 6 кроссдистрибутивных способов установки пакетов по-прежнему лучшие два - nix/guix, ибо:
1. тарболы - колхоз
2. appimage - причёсанный но необновляемый колхоз
3. flatpak - тонкий вендорлок Пидоры (модераторам - это транскрипция реально существующего дистрибутива Pidora)
4. snapd - толстый вендорлок Уебунты (модераторам - это просто описка)
5. nix - годнота № 1, но со своим велосипедом вместо ЯП
6. guix - годнота № 2, на Схеме


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #19, #29

17. Сообщение от iPony129412 (?), 14-Мрт-21, 14:14   +2 +/
> транскрипция реально существующего дистрибутива

существовавшего

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

19. Сообщение от user90 (?), 14-Мрт-21, 15:08   +/
> guix - годнота № 2, на Схеме

Надо же, аноним знает!)
Годнота - это GuixSD целиком, а не один-пакетный-менеджер. Хотя я не помню уже, можно ли его называть "пакетным".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 14-Мрт-21, 15:08   +3 +/
Нет электроэнергии - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

23. Сообщение от Анониним (?), 14-Мрт-21, 15:57   +3 +/
Плинтусный.

Вот это:

> При добавлении файлов с метками "@@" и "@@u" в поле Exec

в общем-то, очередная уличная магия. А применение магии в коде - признак низкого качества.

Для нестабильных вещей с такими признаками применять может и можно, для широкого использования - нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

24. Сообщение от Анониним (?), 14-Мрт-21, 15:59   +/
И станция управления продуктивом висит попой в плавках в интернет. Да. Эти - могут. Зачем-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

25. Сообщение от транскрипция (?), 14-Мрт-21, 16:05   +/
Нет петросянских лесенок - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

26. Сообщение от Аноним (26), 14-Мрт-21, 17:21   +/
Про необходимость переписывания на Rust ещё никто не сказал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #34, #39

27. Сообщение от Аноним (-), 14-Мрт-21, 18:07   +3 +/
Нет главного петрасяна гадящего всю лесенку - нет проблем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30

29. Сообщение от Аноним (-), 14-Мрт-21, 18:11   +/
5 и 6 - нинужное гно мало чем отличающееся от хаемого снапа и флатпака.  так что тролинг ни защитан
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #35

30. Сообщение от Аноним (-), 14-Мрт-21, 18:27   +1 +/
Нет проблем — нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #31

31. Сообщение от OpenEcho (?), 14-Мрт-21, 18:47   –2 +/
(!problem && !problem) == problem
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #33

33. Сообщение от Аноним (33), 14-Мрт-21, 20:33   +/
у тя ошибка в выражении, забыл общую инверсию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (34), 15-Мрт-21, 00:03   +1 +/
Он пока на сезонном облечивании
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от Аноним (35), 15-Мрт-21, 16:39   +/
Нужное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

36. Сообщение от Аноним (36), 15-Мрт-21, 17:42   +/
Если убрать из новомодных пакетных форматов изоляцию, то они превратятся в банальный tar.gz. И нафейхуа это нужно тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

37. Сообщение от Аноним (38), 15-Мрт-21, 18:34   +/
Да всё равно не впало это г
Выкидывайте. Вместе с авторами неосиляторами.
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 15-Мрт-21, 18:57   +/
О, главный двигатель прогресса - неосилятор.

Такие как ты вон в соседней ветке про spectre уже навводили новых г...о технологий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #40

39. Сообщение от Аноним (38), 15-Мрт-21, 23:35   +/
Правильно. И наконец окончательно похоронить этот ужас.

Растоманы хорошо с этим справляюся. Заберети себе в мусорку ещё systemd

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

40. Сообщение от iPony129412 (?), 16-Мрт-21, 07:00   +/
А я то что? Тем более написан мной комментарий нелестный про Flatpak:
"радует что хоть что-то исправляют" - так 👎👎👎

Написано что-то подобное: "признак низкого качества" - так 👍👍👍

Тут нечего добавить 😂

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

41. Сообщение от Аноним (41), 16-Мрт-21, 19:08   +/
Обновил flatpak из ppa и получил неработающий spacemacs. Пришлось делать purge и откатываться на более "зрелую" версию.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру