The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от opennews (ok), 14-Мрт-21, 07:39 
Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость  (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54755

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +6 +/
Сообщение от Леголас (ok), 14-Мрт-21, 07:39 
такая глупость тянется аж с мая 2017
Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  –2 +/
Сообщение от iPony129412 (?), 14-Мрт-21, 07:47 
Вообще радует, что исправляют.
Хоть кто-то на это внимание обращает.
Кто прям совсем как-то уровень плинтусный в этом Flatpak.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +3 +/
Сообщение от Анониним (?), 14-Мрт-21, 15:57 
Плинтусный.

Вот это:

> При добавлении файлов с метками "@@" и "@@u" в поле Exec

в общем-то, очередная уличная магия. А применение магии в коде - признак низкого качества.

Для нестабильных вещей с такими признаками применять может и можно, для широкого использования - нет.

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (38), 15-Мрт-21, 18:57 
О, главный двигатель прогресса - неосилятор.

Такие как ты вон в соседней ветке про spectre уже навводили новых г...о технологий.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

40. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от iPony129412 (?), 16-Мрт-21, 07:00 
А я то что? Тем более написан мной комментарий нелестный про Flatpak:
"радует что хоть что-то исправляют" - так 👎👎👎

Написано что-то подобное: "признак низкого качества" - так 👍👍👍

Тут нечего добавить 😂

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +6 +/
Сообщение от анонн (ok), 14-Мрт-21, 13:58 
> такая глупость тянется аж с мая 2017

The 's' in Flatpak stands for 'security' ...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (26), 14-Мрт-21, 17:21 
Про необходимость переписывания на Rust ещё никто не сказал?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

34. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +1 +/
Сообщение от Аноним (34), 15-Мрт-21, 00:03 
Он пока на сезонном облечивании
Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (38), 15-Мрт-21, 23:35 
Правильно. И наконец окончательно похоронить этот ужас.

Растоманы хорошо с этим справляюся. Заберети себе в мусорку ещё systemd

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

3. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +12 +/
Сообщение от Аноним (3), 14-Мрт-21, 08:07 
С учётом того, что в большинстве flatpak-пакетов вообще отключают изоляцию (https://flatkill.org/2020/), все эти уязвимости для обхода sandbox выглядят странно.
Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах
filesystem=host или filesystem=home, но в каталоге Flathub помечена флажком sandboxed. Такие пакеты имеют полный доступ ко всей ФС или файлам пользователя, включая .bashrc и прочие автоматически запускаемые сценарии.

Установка flatpak имеет смысл только по ссылкам с сайтов основных проектов и официальных анонсов. Запуская найденный во FlatHub или упомянутый не на официальном сайте flatpak-пакет нужно понимать, что без аудита манифеста это действие мало отличается от запуска левого бинарника, загруженного с первого попавшегося сайта. C supply chain во flathub тоже не всё гладко, нет проверки, что упаковщики именно те, за кого они себя выдают, а не просто Вася назвался участником проекта и начал публиковать собранный на коленке пакет.

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от VINRARUS (ok), 14-Мрт-21, 09:53 
>Главная проблема Flatpak не уязвимости, а то, что куча пакетов запускается в режимах filesystem=host или filesystem=home

Главная проблема пакетов Flatpak шо нету одной централизованой настройки для всех пакетов.
Я руками права запуска меняю\проверяю после установки, перед первым запуском.

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +1 +/
Сообщение от iPony129412 (?), 14-Мрт-21, 10:57 
Вообще есть рулон туалетной бумаги 🧻
https://github.com/tchx84/Flatseal
ну так оно эксперементальное
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  –1 +/
Сообщение от VINRARUS (ok), 14-Мрт-21, 11:21 
>JavaScript 95.1%

Теперь ясно откуда такое поэтичное лого.

Но если разведётся много Flatpakов то буду иметь ввиду, дякую.

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +3 +/
Сообщение от Аноним (9), 14-Мрт-21, 12:53 
Flatpack - не для безопасности, а чтобы смузихлёбы вообще могли забить почти на всё, включая безопасность.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от dumcha (?), 14-Мрт-21, 13:08 
Ага. Сидишь на стабильном LTS но со свеженькими пакетиками. Кто ж откажется!
Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от Аноним (9), 14-Мрт-21, 14:05 
/0
Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию"  +/
Сообщение от Анониним (?), 14-Мрт-21, 15:59 
И станция управления продуктивом висит попой в плавках в интернет. Да. Эти - могут. Зачем-то.
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 14-Мрт-21, 10:53 
> позволяющая автору пакета

Расходимся...

Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (36), 15-Мрт-21, 17:42 
Если убрать из новомодных пакетных форматов изоляцию, то они превратятся в банальный tar.gz. И нафейхуа это нужно тогда?
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +5 +/
Сообщение от Аноним (10), 14-Мрт-21, 13:02 
Нет флатпака — нет проблем!
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  –3 +/
Сообщение от Аноним (12), 14-Мрт-21, 13:27 
Нет линукса - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +1 +/
Сообщение от VINRARUS (ok), 14-Мрт-21, 13:41 
Нет процесора — нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +3 +/
Сообщение от Аноним (20), 14-Мрт-21, 15:08 
Нет электроэнергии - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от транскрипция (?), 14-Мрт-21, 16:05 
Нет петросянских лесенок - нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +3 +/
Сообщение от Аноним (-), 14-Мрт-21, 18:07 
Нет главного петрасяна гадящего всю лесенку - нет проблем
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +1 +/
Сообщение от Аноним (-), 14-Мрт-21, 18:27 
Нет проблем — нет проблем.
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  –2 +/
Сообщение от OpenEcho (?), 14-Мрт-21, 18:47 
(!problem && !problem) == problem
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (33), 14-Мрт-21, 20:33 
у тя ошибка в выражении, забыл общую инверсию.
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  –3 +/
Сообщение от Аноним (16), 14-Мрт-21, 14:05 
Комменты не читал, если в первом же комменте про flatpak нет этой ссылки https://flatkill.org/ - комментаторам незачёт.

Из 6 кроссдистрибутивных способов установки пакетов по-прежнему лучшие два - nix/guix, ибо:
1. тарболы - колхоз
2. appimage - причёсанный но необновляемый колхоз
3. flatpak - тонкий вендорлок Пидоры (модераторам - это транскрипция реально существующего дистрибутива Pidora)
4. snapd - толстый вендорлок Уебунты (модераторам - это просто описка)
5. nix - годнота № 1, но со своим велосипедом вместо ЯП
6. guix - годнота № 2, на Схеме


Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +2 +/
Сообщение от iPony129412 (?), 14-Мрт-21, 14:14 
> транскрипция реально существующего дистрибутива

существовавшего

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от user90 (?), 14-Мрт-21, 15:08 
> guix - годнота № 2, на Схеме

Надо же, аноним знает!)
Годнота - это GuixSD целиком, а не один-пакетный-менеджер. Хотя я не помню уже, можно ли его называть "пакетным".

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

29. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (-), 14-Мрт-21, 18:11 
5 и 6 - нинужное гно мало чем отличающееся от хаемого снапа и флатпака.  так что тролинг ни защитан
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

35. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (35), 15-Мрт-21, 16:39 
Нужное
Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (38), 15-Мрт-21, 18:34 
Да всё равно не впало это г
Выкидывайте. Вместе с авторами неосиляторами.
Ответить | Правка | Наверх | Cообщить модератору

41. "Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающ..."  +/
Сообщение от Аноним (41), 16-Мрт-21, 19:08 
Обновил flatpak из ppa и получил неработающий spacemacs. Пришлось делать purge и откатываться на более "зрелую" версию.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру