ГлавнаяБаза уязвимостей БДУ → BDU:2024-06671
9.4критическая

BDU:2024-06671

Уязвимость инструмента для управления приложениями и средами Flatpak, связанная с неправильной нейтрализацией специальных элементов на выходе, используемых нижестоящим компонентом, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
Опубликовано: 2024-09-04
Описание

Уязвимость инструмента для управления приложениями и средами Flatpak связана с неправильной нейтрализацией специальных элементов на выходе, используемых нижестоящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Затрагиваемое ПО и версии
РЕД ОС (7.3)РОСА Кобальт (7.9)ROSA Virtualization (2.1)Flatpak (от 1.14.0 до 1.14.10)Flatpak (от 1.15.0 до 1.15.10)Astra Linux Special Edition (1.8)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.14)МСВСфера (9.5)
Способ устранения

Для flatpak:
https://github.com/containers/bubblewrap/commit/68e75c3091c87583c28a439b45c45627a94d622c
https://github.com/containers/bubblewrap/commit/a253257cd298892da43e15201d83f9a02c9b58b5
https://github.com/flatpak/flatpak/commit/2cdd1e1e5ae90d7c3a4b60ce2e36e4d609e44e72
https://github.com/flatpak/flatpak/commit/3caeb16c31a3ed62d744e2aaf01d684f7991051a
https://github.com/flatpak/flatpak/commit/6bd603f6836e9b38b9b937d3b78f3fbf36e7ff75
https://github.com/flatpak/flatpak/commit/7c63e53bb2af0aae9097fd2edfd6a9ba9d453e97
https://github.com/flatpak/flatpak/commit/8a18137d7e80f0575e8defabf677d81e5cc3a788
https://github.com/flatpak/flatpak/commit/db3a785241fda63bf53f0ec12bb519aa5210de19
https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет flatpak до 1.14.10-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2793

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2837

Обновление программного обеспечения flatpak до версии 1.10.8-0+deb11u3.osnova2u1

Обновление программного обеспечения bubblewrap до версии 0.4.1-3+deb11u1.osnova2u1

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9449?lang=ru

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/containers/bubblewrap/commit/68e75c3091c87583c28a439b45c45627a94d622chttps://github.com/containers/bubblewrap/commit/a253257cd298892da43e15201d83f9a02c9b58b5https://github.com/flatpak/flatpak/commit/2cdd1e1e5ae90d7c3a4b60ce2e36e4d609e44e72https://github.com/flatpak/flatpak/commit/3caeb16c31a3ed62d744e2aaf01d684f7991051ahttps://github.com/flatpak/flatpak/commit/6bd603f6836e9b38b9b937d3b78f3fbf36e7ff75https://github.com/flatpak/flatpak/commit/7c63e53bb2af0aae9097fd2edfd6a9ba9d453e97https://github.com/flatpak/flatpak/commit/8a18137d7e80f0575e8defabf677d81e5cc3a788https://github.com/flatpak/flatpak/commit/db3a785241fda63bf53f0ec12bb519aa5210de19
Проверьте безопасность своего сайта и почты → Полная проверка домена