BDU:2022-00259
АО "НППКТ", Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра» Astra Linux Special Edition, Flatpak, ОСОН ОСнова Оnyx, Debian GNU/Linux, РОСА Кобальт
2021-09-15
Уязвимость инструмента для управления приложениями и средами Flatpak связана с отсутствием блокировки в seccomp-фильтре связанных с mount системных вызовов. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Flatpak: использование рекомендаций производителя: https://github.com/flatpak/flatpak/security/advisories/GHSA-67h7-w3jq-vh4q
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-41133
Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения flatpak до версии 1.10.7-0+deb11u1~bpo10+1
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2487
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2487