Flatpak 1.2.4 lançado para resolver um problema de segurança

E foi lançado o Flatpak 1.2.4 para resolver um problema de segurança, além de trazer outras melhorias. Confiras os detalhes dessa importante atualização.


Flatpak é a tecnologia de próxima geração para a construção e instalação de aplicativos de desktop, que promete revolucionar a forma de instalar programas no Linux.

Flatpak 1.2.4 lançado para resolver um problema de segurança
Flatpak 1.2.4 lançado para resolver um problema de segurança

Flatpak é um concorrente direto do formato Snap, pois é um tipo de sistema de gerenciamento de aplicativos multissistema, pois funciona no Ubuntu, Debian, Fedora, openSUSE, Red Hat, Mint, Endless, Arch, Gentoo, Solus, Alpine, Mageia, Pop!_OS, elementary OS e nos derivados destes.

Novidades do Flatpak 1.2.4

O Flatpak 1.2.4 foi lançado hoje como uma liberação de emergência para resolver uma nova vulnerabilidade CVE.

O CVE-2019-10063 é uma vulnerabilidade do Flatpak que afeta as versões que remontam à série 0.8, o que permite um possível desvio da sua sandbox, que é o mecanismo que isola as aplicações.

Anteriormente, o Flatpak foi corrigido para resolver o CVE-2017-5226, que é uma vulnerabilidade em que uma sessão sem privilégios pode escapar da sessão pai em uma caixa de proteção usando o TIOCSTI ioctl (o TIOCSTI é usado para falsificar a entrada na fila de entrada) a sandbox.

Mas dois anos mais tarde, descobriu-se que o endereçamento do antigo CVE usando um filtro SECCOMP era inadequado em plataformas de 64 bits.

Até agora no Flatpak em plataformas de 64 bits, o sandbox ainda podia ser contornado/desviado, pois o filtro não era manipulado adequadamente em arquiteturas de 64 bits.

Veja mais detalhes no CVE-2019-10063.

Como resultado, o Flatpak 1.2.4 foi lançado com a mitigação adequada.

Esta atualização do Flatpak também tem tratamento para várias placas gráficas NVIDIA no mesmo sistema, uma correção para o Gentoo e outras plataformas em torno do XDG_RUNTIME_DIR sendo um link simbólico, um possível travamento ao atualizar aplicações, e garantindo que a lista de flatpak funcione com –arch.

Para aqueles que estão na série 1.0 Flatpak mais antiga, o Flatpak 1.0.8 também foi lançado esta manhã.

Para saber mais sobre essa versão do Flatpak, acesse a nota de lançamento.

Como instalar ou atualizar o Flatpak 1.2.4

Se você já usa o Flatpak na sua distribuição, a versão mais recente aparecerá em brev nas atualizações de sistema, então, basta manter seu PC atualizado.

Quem ainda não tem a tecnologia instalada, para ter a versão mais recente do Flatpak nas principais distribuições Linux, use esse tutorial:
Como instalar o suporte a Flatpak no Linux

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.