Linux | Линукс
@linux0ids
Критическая уязвимость во Flatpak позволяет вредоносному приложению вырваться из песочницы и выполнить код на хост-системе
Разработчики Flatpak выпустили срочное обновление 1.16.4, закрывающее уязвимость CVE-2026-34078 с критическим уровнем опасности (9.3 из 10). Проблема заключается в сервисе flatpak-portal: он принимает пути в опции sandbox-expose, которые могут оказаться символическими ссылками, указывающими на произвольные части файловой системы хост-системы . Перед монтированием сервис раскрывает такую ссылку и подключает в изолированное окружение любой путь, на который она указывает. В результате вредоносное или скомпрометированное flatpak-приложение может получить полный доступ на чтение и запись к файлам хост-системы, а затем выполнить произвольный код вне режима изоляции — например, добавить автозапускаемый скрипт в ~/.bashrc или изменить ~/.ssh/authorized_keys.
В этом же обновлении исправлены ещё три уязвимости: CVE-2026-34079, позволяющая удалять произвольные файлы на хост-системе через манипуляции с очисткой кэша ld.so
; проблема с произвольным чтением файлов в контексте system-helper (GHSA-2fxp-43j9-pwvc) ; и уязвимость, позволяющая одному пользователю мешать другому отменять загрузку приложений (GHSA-89xm-3m96-w3jg).
Патч уже доступен в стабильной ветке 1.16.4 , а также в экспериментальной 1.17.4. В качестве временной меры защиты можно отключить сервис flatpak-portal командами sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service, однако это может нарушить работу некоторых приложений.
🐧Обсудить в Чате Linux
Если у вас установлено приложение,
вы можете сразу перейти в канал
вы можете сразу перейти в канал