-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2021/dsa-4830.wml 2021-01-15 09:02:11.878580362 +0500 +++ 2021/dsa-4830.wml 2021-01-15 09:11:28.476608692 +0500 @@ -1,36 +1,36 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="cc173b8d34b89c7d43e8628759e88ae4a67b7db9" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>Simon McVittie discovered a bug in the flatpak-portal service that can - -allow sandboxed applications to execute arbitrary code on the host system - -(a sandbox escape).</p> - - - -<p>The Flatpak portal D-Bus service (flatpak-portal, also known by its - -D-Bus service name org.freedesktop.portal.Flatpak) allows apps in a - -Flatpak sandbox to launch their own subprocesses in a new sandbox - -instance, either with the same security settings as the caller or - -with more restrictive security settings. For example, this is used in - -Flatpak-packaged web browsers such as Chromium to launch subprocesses - -that will process untrusted web content, and give those subprocesses a - -more restrictive sandbox than the browser itself.</p> - - - -<p>In vulnerable versions, the Flatpak portal service passes caller-specified - -environment variables to non-sandboxed processes on the host system, - -and in particular to the flatpak run command that is used to launch the - -new sandbox instance. A malicious or compromised Flatpak app could set - -environment variables that are trusted by the flatpak run command, and - -use them to execute arbitrary code that is not in a sandbox.</p> +<p>Саймон Маквитти обнаружил ошибку в службе flatpak-portal, которая может позволить +приложениям в песочнице выполнять произвольный код в основной системе +(выход из песочницы).</p> + +<p>Служба D-Bus Flatpak portal (flatpak-portal, также известная по имени +службы D-Bus org.freedesktop.portal.Flatpak) позволяет приложениям в +песочнице Flatpak запускать собственные подпроцессы в новом экземпляре +песочницы с теми же настройками безопасности как и вызывающее приложение или +с более ограниченными настройками безопасности. Например, это используется в +запускаемом с помощью Flatpak веб-браузере Chromium для запуска подпроцессов, +которые обрабатывают недоверенное веб-содержимое, и предоставления этим подпроцессам +более ограниченной песочницы, чем та, что используется для самого браузера.</p> + +<p>В уязвимых версиях служба Flatpak portal передаёт специфичные для вызывающего +приложения переменные окружения процессам вне песочницы в основной системе, +в частности, команде flatpak run, используемой для запуска нового экземпляра +песочницы. Вредоносное или скомпрометированное Flatpak-приложение может выставить +переменные окружения, которым доверяет команда flatpak run, и +использовать их для выполнения произвольного кода вне песочницы.</p> - -<p>For the stable distribution (buster), this problem has been fixed in - -version 1.2.5-0+deb10u2.</p> +<p>В стабильном выпуске (buster) эта проблема была исправлена в +версии 1.2.5-0+deb10u2.</p> - -<p>We recommend that you upgrade your flatpak packages.</p> +<p>Рекомендуется обновить пакеты flatpak.</p> - -<p>For the detailed security status of flatpak please refer to - -its security tracker page at: +<p>С подробным статусом поддержки безопасности flatpak можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу <a href="https://security-tracker.debian.org/tracker/flatpak">\ https://security-tracker.debian.org/tracker/flatpak</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-4830.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmABFiMACgkQXudu4gIW 0qVebw/8C4bzeZGpzTnERTftlAG2slZ7c8syVHIEAw8DEhL72InFYOCwKmaCv4L1 gpouoBl1k1cDL/no1JDlyICYgXb+k7ORglIusgO4avolIy+oiTryzqgcJxQolUR7 L+15C36ykkfATRe5NXERIssRI49GQVkbIMzhHCs18qJoZEqbinND3B+z2Ax47XUy ngbplK5XfhhK0swR/GWmDHvATmi6DHozhwwELIykjZh9vtkugR8moLpogT26Sx/l 4flE+d4TZQYvVnGVmUn5Ms/OqHk5auR40oiJ7T2aJsWhoDi5HOOYoygmea8Ndv4l gj+vZ12i7XgqrG82vfbDIAPvbKotni7jSmWIPEbFoIZDKK4EKnsR+D2CwT7SF8TN fiTV19uWPAHawiAyHJqq5LXYPCGW2Vd6QJDejPprjyGBUzXjreRIdht/H9VSlHnN y68jwxmNJGSW5shiA1e72FAzV2f6+Xqe8GVKu+0kwf+9e0u2pCjP8DfN8lfsjdAy CT0OAV+qfZ6zEvbz83Z1hDq9va4dIIUrdWslVndcKiHn0jLeLCVpDfKOE2zsCGzb +G95Qtl3+lJ8hWvPcjuON1kJFjtqZ8W2CHuHX20JfqBFQrawt4x1dfl4Lxptg+RE xh78BvUf05Ixgf/aIob5hGgquM08k1zKo6o20WlI4GloY/LX82I= =xE5k -----END PGP SIGNATURE-----