手机版
你好,游客 登录 注册
背景:
阅读新闻

Flatpak 1.2.4 发布,解决沙箱绕过漏洞

[日期:2019-03-27] 来源:Linux公社  作者:醉落红尘 [字体: ]

Flatpak 1.2.4是今天发布的一个紧急版本,用于解决一个新的CVE漏洞。

CVE-2019-10063是一个Flatpak漏洞,影响版本可追溯到0.8系列,允许绕过其沙箱。

Flatpak之前的补丁是针对CVE-2017-5226的,这是一个漏洞,在这个漏洞中,非特权会话可以通过使用TIOCSTI ioctl (TIOCSTI用于伪造输入队列中的输入)逃离沙箱,从而逃离bubblewrap沙箱中的父会话。但是两年后,他们发现在64位平台上使用SECCOMP过滤器对前CVE的寻址是不够的。到目前为止,在64位平台上的Flatpak中,沙箱仍然可以被绕过/转义,因为过滤器在64位架构上没有得到正确的处理。CVE-2019-10063中的详细信息。

结果,Flatpak 1.2.4在适当缓解的情况下发布。

此Flatpak更新还处理同一系统上的多个NVIDIA显卡,修复了Gentoo和XDG_RUNTIME_DIR周围的其他平台作为符号链接,更新应用程序时可能发生的崩溃,以及确保flatpak list --arch工作。

对于旧款Flatpak 1.0系列的用户,今天早上还发布了Flatpak 1.0.8

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-03/157741.htm

 

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款