SK-CERT Bezpečnostné varovanie V20230321-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
10.0 |
| Identifikátor |
| Flatpak – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári sandbox nástroja Flatpak vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
| Dátum prvého zverejnenia varovania |
| 16.03.2023 |
| CVE |
| CVE-2023-28100 |
| IOC |
| – |
| Zasiahnuté systémy |
| Flatpak vo verzii staršej ako 1.10.8 Flatpak vo verzii staršej ako 1.12.8 Flatpak vo verzii staršej ako 1.14.4 Flatpak vo verzii staršej ako 1.15.4 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Pre dočasnú mitigáciu vývojári odporúčajú nespúšťať Flatpak na virtuálnej konzole Linux. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
| Zdroje |
| https://github.com/flatpak/flatpak/security/advisories/GHSA-7qpw-3vjv-xrqp https://marc.info/?l=oss-security&m=167879021709955&w=2 https://exchange.xforce.ibmcloud.com/vulnerabilities/250409 |
« Späť na zoznam
