ГлавнаяБаза уязвимостей БДУ → BDU:2024-03113
6.2высокая

BDU:2024-03113

Уязвимость интерфейса xdg-desktop-portal инструмента для управления приложениями и средами Flatpak, позволяющая нарушителю выйти из изолированной программной среды и получить доступ к файлам в базовой системе
Опубликовано: 2024-04-19
Описание

Уязвимость интерфейса xdg-desktop-portal инструмента для управления приложениями и средами Flatpak связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю выйти из изолированной программной среды и получить доступ к файлам в базовой системе

Затрагиваемое ПО и версии
РЕД ОС (7.3)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)Flatpak (до 1.10.9)Flatpak (от 1.12.0 до 1.12.9)Flatpak (от 1.14.0 до 1.14.6)Flatpak (от 1.15.0 до 1.15.8)ОСОН ОСнова Оnyx (до 2.14)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование при запуске нестатической команды bwrap «--»;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя:
https://github.com/flatpak/flatpak/commit/72016e3fce8fcbeab707daf4f1a02b931fcc004d
https://github.com/flatpak/flatpak/commit/81abe2a37d363f5099c3d0bdcd0caad6efc5bf97
https://github.com/flatpak/flatpak/commit/b7c1a558e58aaeb1d007d29529bbb270dc4ff11e
https://github.com/flatpak/flatpak/commit/bbab7ed1e672356d1a78b422462b210e8e875931
https://github.com/flatpak/flatpak/security/advisories/GHSA-phv6-cpc2-2fgj

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2487

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2487

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-3004

Обновление программного обеспечения flatpak до версии 1.10.8-0+deb11u3.osnova2u1

Оценка CVSS
Балл6.2 — высокая опасность
Источники и патчи
https://github.com/flatpak/flatpak/commit/72016e3fce8fcbeab707daf4f1a02b931fcc004dhttps://github.com/flatpak/flatpak/commit/81abe2a37d363f5099c3d0bdcd0caad6efc5bf97https://github.com/flatpak/flatpak/commit/b7c1a558e58aaeb1d007d29529bbb270dc4ff11ehttps://github.com/flatpak/flatpak/commit/bbab7ed1e672356d1a78b422462b210e8e875931https://github.com/flatpak/flatpak/security/advisories/GHSA-phv6-cpc2-2fgjhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://abf.rosa.ru/advisories/ROSA-SA-2024-2487https://abf.rosa.ru/advisories/ROSA-SA-2024-2487
Проверьте безопасность своего сайта и почты → Полная проверка домена