URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123560
[ Назад ]
Исходное сообщение
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено opennews , 14-Мрт-21 07:39 
Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость  (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54755

Содержание
Сообщения в этом обсуждении
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Леголас , 14-Мрт-21 07:39 
такая глупость тянется аж с мая 2017
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено iPony129412 , 14-Мрт-21 07:47 
Вообще радует, что исправляют.
Хоть кто-то на это внимание обращает.
Кто прям совсем как-то уровень плинтусный в этом Flatpak.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Анониним , 14-Мрт-21 15:57 
Плинтусный.

Вот это:

> При добавлении файлов с метками "@@" и "@@u" в поле Exec

в общем-то, очередная уличная магия. А применение магии в коде - признак низкого качества.

Для нестабильных вещей с такими признаками применять может и можно, для широкого использования - нет.

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 18:57 
О, главный двигатель прогресса - неосилятор.

Такие как ты вон в соседней ветке про spectre уже навводили новых г...о технологий.

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено iPony129412 , 16-Мрт-21 07:00 
А я то что? Тем более написан мной комментарий нелестный про Flatpak:
"радует что хоть что-то исправляют" - так 👎👎👎

Написано что-то подобное: "признак низкого качества" - так 👍👍👍

Тут нечего добавить 😂

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено анонн , 14-Мрт-21 13:58 
> такая глупость тянется аж с мая 2017

The 's' in Flatpak stands for 'security' ...

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 17:21 
Про необходимость переписывания на Rust ещё никто не сказал?
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 00:03 
Он пока на сезонном облечивании
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 23:35 
Правильно. И наконец окончательно похоронить этот ужас.

Растоманы хорошо с этим справляюся. Заберети себе в мусорку ещё systemd

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено Аноним , 14-Мрт-21 08:07 
С учётом того, что в большинстве flatpak-пакетов вообще отключают изоляцию (https://flatkill.org/2020/), все эти уязвимости для обхода sandbox выглядят странно.
Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах
filesystem=host или filesystem=home, но в каталоге Flathub помечена флажком sandboxed. Такие пакеты имеют полный доступ ко всей ФС или файлам пользователя, включая .bashrc и прочие автоматически запускаемые сценарии.

Установка flatpak имеет смысл только по ссылкам с сайтов основных проектов и официальных анонсов. Запуская найденный во FlatHub или упомянутый не на официальном сайте flatpak-пакет нужно понимать, что без аудита манифеста это действие мало отличается от запуска левого бинарника, загруженного с первого попавшегося сайта. C supply chain во flathub тоже не всё гладко, нет проверки, что упаковщики именно те, за кого они себя выдают, а не просто Вася назвался участником проекта и начал публиковать собранный на коленке пакет.

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено VINRARUS , 14-Мрт-21 09:53 
>Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах filesystem=host или filesystem=home

Главная проблема пакетов Flatpak шо нету одной централизованой настройки для всех пакетов.
Я руками права запуска меняю\проверяю после установки, перед первым запуском.

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено iPony129412 , 14-Мрт-21 10:57 
Вообще есть рулон туалетной бумаги 🧻
https://github.com/tchx84/Flatseal
ну так оно эксперементальное
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено VINRARUS , 14-Мрт-21 11:21 
>JavaScript 95.1%

Теперь ясно откуда такое поэтичное лого.

Но если разведётся много Flatpakов то буду иметь ввиду, дякую.

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено Аноним , 14-Мрт-21 12:53 
Flatpack - не для безопасности, а чтобы смузихлёбы вообще могли забить почти на всё, включая безопасность.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено dumcha , 14-Мрт-21 13:08 
Ага. Сидишь на стабильном LTS но со свеженькими пакетиками. Кто ж откажется!
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено Аноним , 14-Мрт-21 14:05 
/0
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Отправлено Анониним , 14-Мрт-21 15:59 
И станция управления продуктивом висит попой в плавках в интернет. Да. Эти - могут. Зачем-то.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено YetAnotherOnanym , 14-Мрт-21 10:53 
> позволяющая автору пакета

Расходимся...

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 17:42 
Если убрать из новомодных пакетных форматов изоляцию, то они превратятся в банальный tar.gz. И нафейхуа это нужно тогда?
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 13:02 
Нет флатпака — нет проблем!
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 13:27 
Нет линукса - нет проблем.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено VINRARUS , 14-Мрт-21 13:41 
Нет процесора — нет проблем.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 15:08 
Нет электроэнергии - нет проблем.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено транскрипция , 14-Мрт-21 16:05 
Нет петросянских лесенок - нет проблем.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 18:07 
Нет главного петрасяна гадящего всю лесенку - нет проблем
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 18:27 
Нет проблем — нет проблем.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено OpenEcho , 14-Мрт-21 18:47 
(!problem && !problem) == problem
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 20:33 
у тя ошибка в выражении, забыл общую инверсию.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 14:05 
Комменты не читал, если в первом же комменте про flatpak нет этой ссылки https://flatkill.org/ - комментаторам незачёт.

Из 6 кроссдистрибутивных способов установки пакетов по-прежнему лучшие два - nix/guix, ибо:
1. тарболы - колхоз
2. appimage - причёсанный но необновляемый колхоз
3. flatpak - тонкий вендорлок Пидоры (модераторам - это транскрипция реально существующего дистрибутива Pidora)
4. snapd - толстый вендорлок Уебунты (модераторам - это просто описка)
5. nix - годнота № 1, но со своим велосипедом вместо ЯП
6. guix - годнота № 2, на Схеме


"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено iPony129412 , 14-Мрт-21 14:14 
> транскрипция реально существующего дистрибутива

существовавшего

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено user90 , 14-Мрт-21 15:08 
> guix - годнота № 2, на Схеме

Надо же, аноним знает!)
Годнота - это GuixSD целиком, а не один-пакетный-менеджер. Хотя я не помню уже, можно ли его называть "пакетным".

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 14-Мрт-21 18:11 
5 и 6 - нинужное гно мало чем отличающееся от хаемого снапа и флатпака.  так что тролинг ни защитан
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 16:39 
Нужное
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 15-Мрт-21 18:34 
Да всё равно не впало это г
Выкидывайте. Вместе с авторами неосиляторами.
"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."
Отправлено Аноним , 16-Мрт-21 19:08 
Обновил flatpak из ppa и получил неработающий spacemacs. Пришлось делать purge и откатываться на более "зрелую" версию.