Flatpak — это среда изолированной программной среды и распространения приложений Linux. До версии 1.16.4 кэширование ld.so удаляет устаревшие файлы кэша без надлежащей проверки того, что контролируемый приложением путь к устаревшему кэшу находится в каталоге кэша. Это позволяет приложениям Flatpak удалять произвольные файлы на хосте.
Эта уязвимость исправлена в версии 1.16.4.
Показать оригинальное описание (EN)
Flatpak is a Linux application sandboxing and distribution framework. Prior to 1.16.4, the caching for ld.so removes outdated cache files without properly checking that the app controlled path to the outdated cache is in the cache directory. This allows Flatpak apps to delete arbitrary files on the host. This vulnerability is fixed in 1.16.4.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0