Flatpak 1.12.3 behebt Sicherheitslücken

Mo, 17. Januar 2022, Ralf Hersel

Das Flatpak-Format wurde hin und wieder wegen Lücken im Sicherheitskonzept kritisiert. Einige davon behebt Flatpak 1.12.3. Dieses wichtiges Update beseitigt zwei kritische Sicherheitsprobleme, wie z.B. CVE-2021-4386, eine Schwachstelle, die es einem böswilligen Repository ermöglichen könnte, ungültige Anwendungs-Metadaten so zu senden, dass die Berechtigungen der App während der Installation versteckt werden. Ebenfalls behoben wurde ein Problem, welches dazu führen kann, dass der Befehl 'flatpak-builder --mirror-screenshots-url' auf Dateien ausserhalb des Build-Verzeichnisses zugreift.

Zusätzlich zu diesen Sicherheitskorrekturen bietet Flatpak 1.12.3 Unterstützung für weitere PulseAudio-Konfigurationen, wie sie in WSL2 verwendet werden, verbessert die Handhabung von Erweiterungs-Updates aus mehreren Repos, optimiert die Kommandozeilen-Ausgabe für nicht-terminale Ziele und korrigiert den Befehl flatpak run --session-bus.


Darüber hinaus wird die Autovervollständigung der Bash aktualisiert, sodass sie nicht mehr auf Befehlsnamen-Aliase funktioniert, die "Since"-Anmerkungen auf FlatpakTransaction-Signalen werden korrigiert und die Fähigkeit, Prüfsummen von Summary-Caches zu verifizieren, wird hinzugefügt, um die Handhabung von lokaler Dateikorruption zu verbessern.

Neben anderen Änderungen verbessert Flatpak 1.12.3 das Herunterladen zusätzlicher Daten, um komprimierte Inhaltskodierungen korrekt zu behandeln und die Verifizierung von Prüfsummen zu beheben, und fügt kleinere Verbesserungen an den Befehlen Liste, Reparieren und Suchen hinzu.

Zu guter Letzt behebt das neue Update die Erstinstallation von Flatpak-Applikationen mit umbenannten IDs, behebt eine Regression bei Updates von 'No-Enumerate-Remotes', korrigiert die Erstellung mit PyParsing 3.0.4 oder neuer, fügt weitere Tests hinzu und aktualisiert die Dokumentation und verschiedene Übersetzungen.

Wer die neue Version nicht selbst kompilieren möchte, sollte warten, bis sie über den Update-Prozess der eigenen Paketverwaltung bereitgestellt wird.

Quelle: https://github.com/flatpak/flatpak