Flatpak 1.10.2

Flatpak — это утилита для развёртывания, управления пакетами и виртуализации для Linux.

Flatpak предоставляет песочницу, в которой пользователи могут запускать приложения без влияния на основную систему. Приложения, использующие Flatk, требуют дополнительных разрешений на использование дискового пространства. Для работы с Flatk пакетам возможно использовать как Flathub (репозиторий разработчика), так и сторонние репозитории, что отличается от подхода Snappy. Выполнение приложений происходит в изолированном контейнере. 

Изначально идея зародилась в проекте Glick — фреймворк для упаковки (англ. bundling) приложений. Он позиционировался как приложение, позволяющее разработчикам создавать самодостаточные пакеты для своих приложений. Первая публичная версия 0.1 была выпущена в 2007 году. Позже был выпущен последний релиз 0.2, где удалось обойти ограничение fuse на одновременное выполнение 10 программ.

Устранена уязвимость (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4

Уязвимость вызвана ошибкой в реализации функции перенаправления доступа к файлу ("file forwarding"), которая даёт возможность через манипуляцию с .desktop-файлом обратится к ресурсам во внешней файловой системе, к которым запрещено обращаться запущенному приложению. При добавлении файлов с метками "@@" и "@@u" в поле Exec, flatpak посчитает что указанные целевые файлы были явно указаны пользователем и автоматически пробросит доступ к этим файлам в sandbox. Уязвимость может быть использована авторами вредоносных пакетов для организации доступа к внешним файлам, несмотря на видимость запуска в режиме изоляции. 


Команда исследователей создала сайт flatkill.org, на котором публикуются различные вопросы безопасности относительно Flatpak.