path: root/russian/security/2021/dsa-4830.wml

#use wml::debian::translation-check translation="cc173b8d34b89c7d43e8628759e88ae4a67b7db9" mindelta="1" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Саймон Маквитти обнаружил ошибку в службе flatpak-portal, которая может позволить
приложениям в песочнице выполнять произвольный код в основной системе
(выход из песочницы).</p>

<p>Служба D-Bus Flatpak portal (flatpak-portal, также известная по имени
службы D-Bus org.freedesktop.portal.Flatpak) позволяет приложениям в
песочнице Flatpak запускать собственные подпроцессы в новом экземпляре
песочницы с теми же настройками безопасности как и вызывающее приложение или
с более ограниченными настройками безопасности. Например, это используется в
запускаемом с помощью Flatpak веб-браузере Chromium для запуска подпроцессов,
которые обрабатывают недоверенное веб-содержимое, и предоставления этим подпроцессам
более ограниченной песочницы, чем та, что используется для самого браузера.</p>

<p>В уязвимых версиях служба Flatpak portal передаёт специфичные для вызывающего
приложения переменные окружения процессам вне песочницы в основной системе,
в частности, команде flatpak run, используемой для запуска нового экземпляра
песочницы. Вредоносное или скомпрометированное Flatpak-приложение может выставить
переменные окружения, которым доверяет команда flatpak run, и
использовать их для выполнения произвольного кода вне песочницы.</p>

<p>В стабильном выпуске (buster) эта проблема была исправлена в
версии 1.2.5-0+deb10u2.</p>

<p>Рекомендуется обновить пакеты flatpak.</p>

<p>С подробным статусом поддержки безопасности flatpak можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/flatpak">\
https://security-tracker.debian.org/tracker/flatpak</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2021/dsa-4830.data"