摘要:
flatpak security update
安全等级: High
公告ID: KylinSec-SA-2024-3487
发布日期: 2024年4月26日
关联CVE: CVE-2024-32462
flatpak是一个在Linux上构建、分发和运行沙盒桌面应用程序的系统。请参阅https://wiki.gnome.org/Projects/SandboxedApps了解更多信息。
安全修复:
Flatpak是一个用于在Linux上构建、分发和运行沙盒桌面应用程序的系统。在1.10.9、1.12.9、1.14.6和1.15.8之前的版本中,恶意或受感染的Flatpak应用程序可以在其沙盒外执行任意代码。通常情况下,`flatpak-run `的`--command`参数期望得到一个在指定的flatpak应用程序中运行的命令,以及一些参数(可选)。然而,也可以将`bwrap`参数传递给`--command=`,例如`--bind`。可以将任意的“命令行”传递给门户界面“org.freedesktop.portal”。背景在Flatpak应用程序中请求背景。当这被转换为“--command”和参数时,它实现了将参数直接传递给“bwrap”的相同效果,因此可用于沙盒转义。解决方案是将`--`参数传递给`bwrap`,使其停止处理选项。自bubblewrap 0.3.0以来,这一点一直得到支持。所有支持的Flatpak版本都至少需要该版本的bubblewrap。xdg桌面门户1.18.4版将通过仅允许Flatpak应用程序为不以--开头的命令创建.desktop文件来减轻此漏洞。该漏洞已在1.15.8、1.10.9、1.12.9和1.14.6中修补。(CVE-2024-32462)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-32462 | KY3.4-5A | flatpak | Fixed |
| CVE-2024-32462 | KY3.5.2 | flatpak | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| flatpak-help | noarch | 1.0.3-12.kb1.ky3_4 |
| flatpak-devel | x86_64 | 1.0.3-12.kb1.ky3_4 |
| flatpak | x86_64 | 1.0.3-12.kb1.ky3_4 |
| flatpak | aarch64 | 1.0.3-12.kb1.ky3_4 |
| flatpak-devel | aarch64 | 1.0.3-12.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| flatpak-help | noarch | 1.10.2-8.ky3_5.kb1 |
| flatpak-devel | x86_64 | 1.10.2-8.ky3_5.kb1 |
| flatpak | x86_64 | 1.10.2-8.ky3_5.kb1 |
| flatpak | aarch64 | 1.10.2-8.ky3_5.kb1 |
| flatpak-devel | aarch64 | 1.10.2-8.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
