forum.opennet.ru - "Уязвимость во Flatpak, позволяющая обойти режим изоляции" (96)

"Уязвимость во Flatpak, позволяющая обойти режим изоляции"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
Сообщение от opennews (??), 24-Янв-21, 20:08
В инструментарии для создания самодостаточных пакетов Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но позднее в исправлении всплыло регрессивное изменение, вызывающее проблемы при сборке на системах с прослойкой bubblewrap, установленной с флагом setuid. Регрессия устранена в выпуске 1.10.1 (обновление для ветки 1.8.x пока недоступно)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54461
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в Flatpak, позволяющая сделать ненужное нужным , Аноним (1), 20:08 , 24-Янв-21, (1) +29

Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов пр, VINRARUS (ok), 00:15 , 25-Янв-21, (35) +6

Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов п, Аноним (52), 01:08 , 25-Янв-21, (52) +6

Так и есть, в общем-то Зависимости третьей стороны в каждом пакете свои, неизве, An O Nim (?), 09:31 , 25-Янв-21, (81)

Не позволяет Депенденси Хелл протухшие либы и конфликты зависимостей , Аноньимъ (ok), 14:13 , 25-Янв-21, (91) +2

Таких проблем не существует , Аноним (98), 23:38 , 25-Янв-21, (98) –2

Типа того В инфраструктуре дистра собрать удавалось с меньшими трудозатратами Ч, An O Nim (?), 13:20 , 29-Янв-21, (105)

Именно поэтому, я за NixOS , Аноним (106), 15:37 , 31-Янв-21, (106)

Snap нужнее не стал , Аноним (2), 20:09 , 24-Янв-21, (2) +14

Почему Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, , ОхотникНаОленей (?), 23:09 , 24-Янв-21, (31) +2

Как и во флатпакКак и во флатпак А еще во флатпаке есть разделяемые рантаймыНо , Аноним (33), 23:21 , 24-Янв-21, (33) +1

Охотник на оленей поймал оленя за рога, Анон1632776693 (?), 02:51 , 25-Янв-21, (58) +3
Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака , ОхотникНаОленей (?), 07:34 , 26-Янв-21, (101)
Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то вышеНу , ОхотникНаОленей (?), 18:51 , 26-Янв-21, (102)

Вот вангую что через года 2 каноникал выбросит свой снап И перейдет на flatpak , Аноним (44), 00:48 , 25-Янв-21, (44) +5

Неее, через пару лет всё это выкинут и напишут флетснапак , Аноним (52), 01:09 , 25-Янв-21, (53)

системд-флетснаппакд, муу (?), 01:50 , 25-Янв-21, (56) +6

к тому времени все перейдут на фрю, Аноним (90), 11:30 , 25-Янв-21, (90) +2

веб-версияchromium из под su, смысл его песочить, самый секурный браузер еда м, лютый жабби__ (?), 08:44 , 25-Янв-21, (73) –1
каждая софтина живёт в своём snap-окружении и она не может попортить почита, Щас начнем анонимно (?), 12:00 , 27-Янв-21, (104)

Нет, только AppImage , Аноним (87), 11:10 , 25-Янв-21, (87) +4

Шедевр, девляпсы , Аноним (3), 20:10 , 24-Янв-21, (3) +7

смузихлебы, Аноним (7), 20:20 , 24-Янв-21, (7) +6

растофаны, Аноним (7), 20:20 , 24-Янв-21, (8) –5

Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай Но вот как, An O Nim (?), 09:34 , 25-Янв-21, (82)

FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступ, Аноним (2), 20:10 , 24-Янв-21, (4) –2

у некоторых пакетов прописан доступ к домашнему каталогу по дефолту Например, х, ilyafedin (ok), 20:58 , 24-Янв-21, (16)

Ты немного бред говоришь Flatpak умеет подсовывать фейковый home для програм, , Аноним (44), 00:34 , 25-Янв-21, (37) +1

Как только попытаешься открыть файловый диалог без доступа к home, увидишь, что, ilyafedin (ok), 00:35 , 25-Янв-21, (38)

Ммм, файловый диалог видит вообще-то все, если он системный И еще и может перед, Аноним (44), 00:40 , 25-Янв-21, (41)

А еще если совсем все плохо да можно сделать вот так mkdir home user fakehome, Аноним (44), 00:42 , 25-Янв-21, (42)
системный файловый диалог предоставялет тулкит, что ты имеешь в виду под си, ilyafedin (ok), 00:52 , 25-Янв-21, (46)

ПОдожди а что должен увидеть файловый диалог в home username если он фейковый и, Аноним (44), 00:46 , 25-Янв-21, (43)

Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать , ilyafedin (ok), 00:54 , 25-Янв-21, (47)
Портальный диалог может ходить по хостовой системе часть системы же и пробрасы, ilyafedin (ok), 00:56 , 25-Янв-21, (48) +1

Суидные бинарники, опять суидные бинарники И почему меня никто не слушает , Аноним (5), 20:14 , 24-Янв-21, (5) +2

Ах да, про порталы я уже тоже ныл Порталы это тупик, как ни крути , Аноним (5), 20:16 , 24-Янв-21, (6)
Это только в Debian е, там user namespaces отключено В Arch е бинарники без SUI, Аноним (97), 17:53 , 25-Янв-21, (97)

По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страда, Тов Майор (?), 20:39 , 24-Янв-21, (9) +7

зачем ты пишешь чушь на опеннете , дохтурЛол (?), 20:50 , 24-Янв-21, (11) –6

Почему чушь В результате транспозиции межушный ганглий перестаёт быть межушным , n00by (ok), 07:39 , 25-Янв-21, (69) +1

Как хорошо, что все лучшие разработчики мира собрались в комментах на опеннете,, Аноним (12), 20:53 , 24-Янв-21, (12) +6

Дык они ж на нем комментят а не кодят , Lex (??), 21:00 , 24-Янв-21, (19)

Хороший программист умеет грамотно и понятно написать комментарий и пишет их мно, Аноним (23), 21:18 , 24-Янв-21, (23) +6

Без ФэтФака как-то надёжней было , Аноним (52), 20:49 , 24-Янв-21, (10) +1

На самом деле нет , Аноним (15), 20:58 , 24-Янв-21, (15) –2

На самом деле, да Не было иллюзии безопасности , Аноним (72), 08:39 , 25-Янв-21, (72)

Ну кто бы мог подумать Дырявые линуксконтейнеры опять показали себя во всей кра, псевдонимус (?), 20:53 , 24-Янв-21, (13) –3
Скрыто модератором, псевдонимус (?), 20:55 , 24-Янв-21, (14) –1
Скрыто модератором, Онаним (?), 20:59 , 24-Янв-21, (17) +5
А в обычных deb rpm пакетах вообще нету никакой изоляции, т е по уровню защиты , Нанобот (ok), 21:00 , 24-Янв-21, (18) –9

В каком пакете идёт сам flatpak , VINRARUS (ok), 00:33 , 25-Янв-21, (36)
Ну это теория На практике неочень Вот ставишь ты Flatpak пакет криптовалютного , iPony129412 (?), 04:57 , 25-Янв-21, (64) +1
В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль с, Аноним (71), 08:37 , 25-Янв-21, (71) +4

Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю Имхо, Нанобот (ok), 16:16 , 25-Янв-21, (96)

Через deb rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревш, Аноним (98), 23:42 , 25-Янв-21, (99)

Вот он, набор ненужного Ну кроме Audacity может быть , Аноним (26), 22:17 , 24-Янв-21, (26) –5

Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно, Аноним (33), 22:25 , 24-Янв-21, (27) +6

Естественно А мне это не интересно, чего там может быть нужно какой-то обезья, Аноним (26), 22:36 , 24-Янв-21, (29)
Во флатпаке - точно не нужно , Аноним (1), 22:40 , 24-Янв-21, (30) +4

VLC не тронь, Я твой господин смерд (?), 03:52 , 25-Янв-21, (59)
GIMP не тронь, Аноним (87), 11:12 , 25-Янв-21, (88)
Octave не тронь, Аноним (87), 11:13 , 25-Янв-21, (89)
Эти апликухе есть и в виде AppImage, Аноним (103), 01:48 , 27-Янв-21, (103)

Base OS pkg ports profitЗачем они городят какие-то костыли , Zitz (?), 23:26 , 24-Янв-21, (34) –2

Вот хочу я на debian stable установить новый libreoffice Или не хочу засырать с, Аноним (44), 00:38 , 25-Янв-21, (40)

Вот и нужно сделать, как в нормальных ОС базовая система и программы отдельно , Zitz (?), 00:50 , 25-Янв-21, (45) –3

Это в которых до 2021 года в system32 кладутся левые общие либы при установке, , Dzen Python (ok), 01:05 , 25-Янв-21, (51) +1

А у вас негров линчуют c , Zitz (?), 09:47 , 25-Янв-21, (84)
Это в которых можно вот так code mount -o exec tmp pkg fetch gcc48 pkg --r, анонн (ok), 15:31 , 25-Янв-21, (95) +1

Наркоман Зачем пихать в сервер-ориентед ор критикал-воркстайшн с заранее извес, Dzen Python (ok), 00:59 , 25-Янв-21, (49)

Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужн, Аноним (76), 09:02 , 25-Янв-21, (76)

Специально под такие потребности есть хипстерские зборачки, вроде никос Зачем тя, Dzen Python (ok), 09:08 , 25-Янв-21, (78)

Который ничем не лучше флатпакаПотому что хочу Ну надо , Аноним (76), 09:16 , 25-Янв-21, (79) –1

Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо, Аноним (52), 01:15 , 25-Янв-21, (55) –1
Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд Он для , Аноним (66), 06:42 , 25-Янв-21, (66) +1

я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр точ, Аноним (86), 10:44 , 25-Янв-21, (86)

Попробуйте Guix Он решит все ваши проблемы , Аноньимъ (ok), 14:21 , 25-Янв-21, (92)

Не надо в нормальных системах этого костыля Когда один и тот же софт нужно обно, Аноним (98), 23:45 , 25-Янв-21, (100)

Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Li, VINRARUS (ok), 00:37 , 25-Янв-21, (39) +2

Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксово, Dzen Python (ok), 01:01 , 25-Янв-21, (50) +5

А если бы написать на Раст , Аноним (57), 02:01 , 25-Янв-21, (57)

равносильно x10 росту дыр утечка памяти , Аноним (52), 04:21 , 25-Янв-21, (60) –4

Ток баш Или zsh или рыбку по аналогии , leibniz (??), 04:27 , 25-Янв-21, (61)

Хоть что Можно и скриптов в пользовательский авторан засунуть , iPony129412 (?), 09:25 , 25-Янв-21, (80)

А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать В, Аноним (63), 04:55 , 25-Янв-21, (63) +3

А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на вс, Аноним (52), 05:58 , 25-Янв-21, (65)

Открываешь для себя fdroid Оказывается, что софт может работать с минимумом разр, Dzen Python (ok), 09:00 , 25-Янв-21, (75)

Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом р, Аноним (52), 09:48 , 25-Янв-21, (85)

А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложен, iPony129412 (?), 07:13 , 25-Янв-21, (68)
Эта ссылка должна была быть в первом же комментарии про flatpak http flatkill, Аноним (70), 08:17 , 25-Янв-21, (70) +1

Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у теб, Gnus (?), 08:55 , 25-Янв-21, (74)

Вы можете гуикс на любой линукс установит Ос же на основе гуикса называется Guix, Аноньимъ (ok), 14:24 , 25-Янв-21, (93)
Но я согласен что нужна нонфри версия Ну или возможность это легко включить , Аноньимъ (ok), 14:26 , 25-Янв-21, (94)

Системы все так же отжирают собой все доступное место, спасая диск от юзерских ф, Dzen Python (ok), 09:02 , 25-Янв-21, (77) +2
Что то, что это 8212 сплошная пионерия на палках и этом самом , iPony129412 (?), 09:43 , 25-Янв-21, (83)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +29 +/–

Сообщение от Аноним (1), 24-Янв-21, 20:08

Уязвимость в Flatpak, позволяющая сделать ненужное нужным?

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от VINRARUS (ok), 25-Янв-21, 00:15

Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от Аноним (52), 25-Янв-21, 01:08

Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от An O Nim (?), 25-Янв-21, 09:31

Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари.
Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко.
Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install *src*deb

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от Аноньимъ (ok), 25-Янв-21, 14:13

>А вот классическое устройство дистрибутива позволяет легко получить и собрать все части
>apt
Не позволяет.
Депенденси Хелл протухшие либы и конфликты зависимостей.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –2 +/–

Сообщение от Аноним (98), 25-Янв-21, 23:38

Таких проблем не существует.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от An O Nim (?), 29-Янв-21, 13:20

Типа того.
В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны.
Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (106), 31-Янв-21, 15:37

Именно поэтому, я за NixOS!

Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

2. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +14 +/–

Сообщение от Аноним (2), 24-Янв-21, 20:09

Snap нужнее не стал.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от ОхотникНаОленей (?), 24-Янв-21, 23:09

Почему? Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, когда каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки, и другие не могут, т.к. монтируется snapfs с целоостностью бинарников.
Всякие телеграмы, хромы, прочая снедь, ей самое место в снап, так надёжнее и дешевле чем заводить lxd или kata-containers для каждого.
У известных пакетов типа apache, mysql я понимаю по своему юзер/группе и это решается стандартными правами.
Но заводить по юзеру на каждое прикладное? И как оно в десктопе, в контексте одного $home жить будет?
Умных все корчат и вторят ернуду.
А ещё в snap унифицирован контроль над ресурсами приложению, можно в один чих дать или нет интернет/сеть приложению, дать или нет соединению с другими, микрофон, камера, все все видно что потребляет приложение и можно дать/забрать.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Аноним (33), 24-Янв-21, 23:21

> когда каждая софтина живёт в своём snap-окружении
Как и во флатпак
> А ещё в snap унифицирован контроль над ресурсами приложению
Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы
Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +3 +/–

Сообщение от Анон1632776693 (?), 25-Янв-21, 02:51

Охотник на оленей поймал оленя за рога

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ОхотникНаОленей (?), 26-Янв-21, 07:34

Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака свои фишки есть.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

102. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ОхотникНаОленей (?), 26-Янв-21, 18:51

> Как и в Flatpak
Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше
> Когда нибудь найдут дыру и в snap
Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

44. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +5 +/–

Сообщение от Аноним (44), 25-Янв-21, 00:48

Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

53. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (52), 25-Янв-21, 01:09

Неее, через пару лет всё это выкинут и напишут флетснапак.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от муу (?), 25-Янв-21, 01:50

системд-флетснаппакд

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от Аноним (90), 25-Янв-21, 11:30

к тому времени все перейдут на фрю

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

73. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –1 +/–

Сообщение от лютый жабби__ (?), 25-Янв-21, 08:44

>телеграмы
веб-версия
>хромы
chromium из под su, смысл его песочить, самый секурный браузер )
>прочая снедь
еда? может просто совсем не устанавливать откровенное гомно?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

104. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Щас начнем анонимно (?), 27-Янв-21, 12:00

"...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..."
Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

87. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +4 +/–

Сообщение от Аноним (87), 25-Янв-21, 11:10

Нет, только AppImage.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +7 +/–

Сообщение от Аноним (3), 24-Янв-21, 20:10

> несмотря на наличие в описании пакета метки "sandboxed"
Шедевр, девляпсы!!!

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от Аноним (7), 24-Янв-21, 20:20

смузихлебы

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –5 +/–

Сообщение от Аноним (7), 24-Янв-21, 20:20

растофаны

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от An O Nim (?), 25-Янв-21, 09:34

Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –2 +/–

Сообщение от Аноним (2), 24-Янв-21, 20:10

FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ilyafedin (ok), 24-Янв-21, 20:58

у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Аноним (44), 25-Янв-21, 00:34

Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему.
Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ilyafedin (ok), 25-Янв-21, 00:35

> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и
> поделия на електроне прекрасно работают без доступа вообще ко всему.
> Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета
> неможет в сандбокс. Там одну строку изменить.
Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (44), 25-Янв-21, 00:40

Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (44), 25-Янв-21, 00:42

А еще. если совсем все плохо да. можно сделать вот так
mkdir /home/user/fakehome_forapp
HOME=/home/user/fakehome_forapp flatpak run com.garbageapplication

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ilyafedin (ok), 25-Янв-21, 00:52

> Ммм, файловый диалог видит вообще-то все, если он системный. И еще и
> может передать ОДИН файл в прогу. Обнови flatpak дружище.
"системный"... файловый диалог предоставялет тулкит, что ты имеешь в виду под системным? Есть, конечно, портальный, но его хромиум/электрон как раз и не умеют.
Ну и сам флатпак на это влиять не может, только версия рантайма, с которой приложение собрано и версия порталов в системе.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

43. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (44), 25-Янв-21, 00:46

ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ из flatpaka.
Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли, или будут проблемы.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

47. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от ilyafedin (ok), 25-Янв-21, 00:54

> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.
Ох, ты сам же мануалы-то и не читал, тогда бы знал, что приложение должно юзать xdg-desktop-portal в флатпаке для диалогов.
https://github.com/electron/electron/pull/19159

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от ilyafedin (ok), 25-Янв-21, 00:56

> ПОдожди а что должен увидеть файловый диалог в /home/username если он фейковый
> и пуст... пропиши проге папку в настройках /home/username/appfolder и дай доступ
> из flatpaka.
> Мануалы же читать надо. А не в GUI сидеть. Нет для флатпака
> нормального бекенда со всеми возможностями. Надо ставить и настраивать из консоли,
> или будут проблемы.
Портальный диалог может ходить по хостовой системе (часть системы же) и пробрасывать файлы в песочницу. Ничего руками делать не должно быть нужно.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

5. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от Аноним (5), 24-Янв-21, 20:14

Суидные бинарники, опять суидные бинарники. И почему меня никто не слушает?

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (5), 24-Янв-21, 20:16

Ах да, про порталы я уже тоже ныл. Порталы это тупик, как ни крути.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (97), 25-Янв-21, 17:53

Это только в Debian'е, там user namespaces отключено. В Arch'е бинарники без SUID.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

9. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +7 +/–

Сообщение от Тов Майор (?), 24-Янв-21, 20:39

По со вершенно непонятному стечению обстоятельств практичеки все хипсторы страдают от недуга "напихай по больше про безопастнось и непофтормые фичи твоего смузи продукта даже не понимая смысла использованных терминов"
отягощенного транспозицией головного мозга и седалища.
Потому то хипстоподелки видимо и напоминают разваливающиеся китайские игрушки из 90х.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –6 +/–

Сообщение от дохтурЛол (?), 24-Янв-21, 20:50

зачем ты пишешь чушь на опеннете?

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от n00by (ok), 25-Янв-21, 07:39

Почему чушь? В результате транспозиции межушный ганглий перестаёт быть межушным.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от Аноним (12), 24-Янв-21, 20:53

Как хорошо, что все лучшие разработчики мира собрались в комментах на опеннете, так мне спокойней за любимый сайт.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Lex (??), 24-Янв-21, 21:00

Дык они ж на нем комментят а не кодят :)

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от Аноним (23), 24-Янв-21, 21:18

Хороший программист умеет грамотно и понятно написать комментарий и пишет их много

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Аноним (52), 24-Янв-21, 20:49

Без ФэтФака как-то надёжней было.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –2 +/–

Сообщение от Аноним (15), 24-Янв-21, 20:58

На самом деле нет.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (72), 25-Янв-21, 08:39

На самом деле, да. Не было иллюзии безопасности.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –3 +/–

Сообщение от псевдонимус (?), 24-Янв-21, 20:53

Ну кто бы мог подумать! Дырявые линуксконтейнеры опять показали себя во всей красе.
Но опенвзлевое использовать не будем. Там патчи не шапкины.

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором –1 +/–

Сообщение от псевдонимус (?), 24-Янв-21, 20:55

И опять дырка в Дубасе.. но копрофаги будут дальше уплетать за обе щеки.

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором +5 +/–

Сообщение от Онаним (?), 24-Янв-21, 20:59

Очередная адовая дырка у смузихлёбов?
Как-то уже привычно и обыденно.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –9 +/–

Сообщение от Нанобот (ok), 24-Янв-21, 21:00

А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak. Вот только во flatpak ошибку исправили и теперь порядок, а deb/rpm как соответствовали дырявыми версиями flatpak, так и останутся такими навсегда

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от VINRARUS (ok), 25-Янв-21, 00:33

В каком пакете идёт сам flatpak?

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от iPony129412 (?), 25-Янв-21, 04:57

> А в обычных deb/rpm пакетах вообще нету никакой изоляции, т.е. по уровню защиты deb/rpm соответствует дырявой версии flatpak.
Ну это теория. На практике неочень.
Вот ставишь ты Flatpak пакет криптовалютного кошелька. А его естественно делает левый пионер, не связанный с основным проектом (это обычное явление во Flathub).
Он попионерит, и забьёт, а ты будешь с дырявой версий сидеть с возможностью пенетрации.
Ну или вообще захочет вредонос встроить — сложности не составит. Особых уж проверок нет.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

71. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +4 +/–

Сообщение от Аноним (71), 25-Янв-21, 08:37

В пакете из дистрибутива есть цепочка доверия к мэйнтейнеру и жёсткий контроль сообщества, а во Flathub пакеты публикует непойми кто и проверяют непойми как. Поэтому изоляция запуска содержимого во flatpak должна быть обязательной и полной, но её каждый второй автор пакета отключает. Как следствие, если на пакет не ссылается основной проект как заслуживающий доверия, риски при запуске flatpak мало чем отличаются от запуска первого попавшегося в интернете бинарника.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

96. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Нанобот (ok), 25-Янв-21, 16:16

Возможность отключить изоляцию, создаёт проблемы с безопасностью, не спорю. Имхо, могли бы запилить какой-нибудь режим повышеной безопасности, не позволяющий устанавливать пакеты со слабой изоляцией...
А насчёт доверия мейнтейнеру - можно, на доверии всё человеческое общество устроено, но я бы всё же предпочёл доверять алгоритму, а не людишкам (компьютеры ненадёжны, люди - ещё ненадёжнее -- из законов мерфи)

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (98), 25-Янв-21, 23:42

Через deb/rpm не едет неизвестно как и кем собранный блоб в комплекте с устаревшими дырявыми зависимостями.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

26. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –5 +/–

Сообщение от Аноним (26), 24-Янв-21, 22:17

> GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC
Вот он, набор ненужного!) Ну кроме Audacity может быть.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +6 +/–

Сообщение от Аноним (33), 24-Янв-21, 22:25

Опять какой то анонимный хрен в интернете лучше других знает, кому что нужно

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (26), 24-Янв-21, 22:36

Естественно! :)
> кому что нужно
А мне это не интересно, чего там может быть нужно какой-то обезьянке.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +4 +/–

Сообщение от Аноним (1), 24-Янв-21, 22:40

Во флатпаке - точно не нужно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

59. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Я твой господин смерд (?), 25-Янв-21, 03:52

VLC не тронь

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

88. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (87), 25-Янв-21, 11:12

GIMP не тронь

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

89. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (87), 25-Янв-21, 11:13

Octave не тронь

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

103. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (103), 27-Янв-21, 01:48

> GIMP, Inkscape, Audacity и VLC
Эти апликухе есть и в виде AppImage

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

34. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –2 +/–

Сообщение от Zitz (?), 24-Янв-21, 23:26

Base OS + pkg/ports = profit
Зачем они городят какие-то костыли?

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (44), 25-Янв-21, 00:38

Вот хочу я на debian stable установить новый libreoffice. Или не хочу засырать систему стимом. Или хочу чтоб у меня работал последний месенджер, разрабы которого постоянного обновляют его.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –3 +/–

Сообщение от Zitz (?), 25-Янв-21, 00:50

Вот и нужно сделать, как в нормальных ОС: базовая система и программы отдельно. Windows, macOS, FreeBSD так и работают. Там всегда самый новейший софт при том, что сама система от него вообще никак не зависит.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 01:05

Это в которых до 2021 года в \system32 кладутся левые общие либы при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs, где, подумать только, лежат хардилнки на все библиотеки, которые только есть в системе, и без работы с дисмом расплывшуюся до неприличных размеров после пары кумулятивок хрен сожмешь (удалая ненужные обновления, лишая себя возможности отката системы)?
До-до, нам в лянуксах такого шедевра костылестроения только не хватало.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Zitz (?), 25-Янв-21, 09:47

А у вас негров линчуют.(c)

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от анонн (ok), 25-Янв-21, 15:31

> Это в которых до 2021 года в \system32 кладутся левые общие либы
> при установке, а для реализации принципа разделяемых библиотек есть папочка \winsxs,
Это в которых можно вот так:

# mount -o exec /tmp
$ pkg fetch gcc48
# pkg --rootdir /tmp/test add --accept-missing -f /var/cache/pkg/gcc48-4.8.5_13.txz
Installing gcc48-4.8.5_13...
pkg: Missing dependency 'binutils'
pkg: Missing dependency 'gmp'
pkg: Missing dependency 'indexinfo'
pkg: Missing dependency 'mpc'
pkg: Missing dependency 'mpfr'
Extracting gcc48-4.8.5_13: 100%
...
Unsupported by upstream since 2015. Use GCC 10 or newer instead
$ /tmp/test/usr/local/bin/gcc48 -v
Using built-in specs.
COLLECT_GCC=/tmp/test/usr/local/bin/gcc48
COLLECT_LTO_WRAPPER=/tmp/test/usr/local/bin/../libexec/gcc48/gcc/x86_64-portbld-freebsd12.1/4.8.5/lto-wrapper
Target: x86_64-portbld-freebsd12.1
Configured with: /wrkdirs/usr/ports/lang/
...
/info/gcc48 --build=x86_64-portbld-freebsd12.1
Thread model: posix
gcc version 4.8.5 (FreeBSD Ports Collection)

но да, можно вместо этого попетросянить о венде и заявить "нищитаица!!1"

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

49. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 00:59

> На дебиан-стейбл
Наркоман.
Зачем пихать в сервер-ориентед ор критикал-воркстайшн (с заранее известной смесью рабочих приложений) но-гуй-бест-вей сборку дебиана, ради которой и затевается вся это мура с фильтрацией sid-unstable-testing, патчами и заморозками мокрокисечный софт. Ну или околопрориентарь, вроде стимов/мессенджеров?
Нет, просто ход мыслей непонятен.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

76. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (76), 25-Янв-21, 09:02

Ну ок, какой дистр мне поставить, в котором я могу заиметь несколько версий нужной мне проги одновременно, ну или просто взять ту, которая нужна, не важно, новая она или старая?

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 09:08

Специально под такие потребности есть хипстерские зборачки, вроде никос.
Зачем тянуть в специально стабилизированную систему проприентарь?

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –1 +/–

Сообщение от Аноним (76), 25-Янв-21, 09:16

> хипстерские зборачки, вроде никос
Который ничем не лучше флатпака
> Зачем тянуть в специально стабилизированную систему проприентарь?
Потому что хочу. Ну надо.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –1 +/–

Сообщение от Аноним (52), 25-Янв-21, 01:15

> Вот хочу я ... новый ...
Но не получится, ибо новый требует либо libc, которой у тебя нет в системе, либо libc вшита в пакет, но требует новое ядро. И нифига в этом фэтфаке у тебя не работает.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

66. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Аноним (66), 25-Янв-21, 06:42

Пользователь debian stable не хочет устанавливать НОВОЕ каждые 5 секунд. Он для того такой дистр и выбрал.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

86. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (86), 25-Янв-21, 10:44

я не хочу чтобы что-то ВНЕЗАПНО отваливалось, поэтому и выбирал такой дистр (точнее одна из причин). А вот новое оно или нет, мне как-то без разницы в большинстве случаев.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноньимъ (ok), 25-Янв-21, 14:21

Попробуйте Guix!
Он решит все ваши проблемы.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

100. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (98), 25-Янв-21, 23:45

Не надо в нормальных системах этого костыля. Когда один и тот же софт нужно обновлять размыми несовместимыми способами, системный openssl конфликтует с портовым, и в системе всегда есть сендмейл и прочее никому ненужное говно которое простым способом не удалить. FreeBSD переедет целиком на пакеты рано или поздно.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

39. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от VINRARUS (ok), 25-Янв-21, 00:37

Балин, это получается шобы безопасно пользоваться контейнерами Linux нада сам Linux в контейнере виртуалки запускать, а лучше ещо пару вложеных контейнера в контейнере?

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +5 +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 01:01

Контейнер на линуксе в гипервизоре контейнеризованного линукса, внутри линуксовой виртуалки на линуксовом гипервизоре.
Базарю, хакеры сами тебе денег отсыпят, лишь бы перестал так упарываться

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (57), 25-Янв-21, 02:01

А если бы написать на Раст...

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" –4 +/–

Сообщение от Аноним (52), 25-Янв-21, 04:21

равносильно x10 росту дыр + утечка памяти.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от leibniz (??), 25-Янв-21, 04:27

> атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc
Ток баш? Или zsh или рыбку по аналогии?

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от iPony129412 (?), 25-Янв-21, 09:25

Хоть что.
Можно и скриптов в пользовательский авторан засунуть.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +3 +/–

Сообщение от Аноним (63), 25-Янв-21, 04:55

А может просто не нужно всякую не внушающую доверия ерунду себе устанавливать? В Android вот есть изоляция приложений и разграничение прав, и что, мало малвари на Гуглплее? Только видимость безопасности и больше защита интересов издателей, а не пользователей.
Может лучше не изолировать, а интегрировать? Ущербна сама концепция "приложений". ОС должна быть расширяемой, дополняться новыми функциями, которые можно произвольно сочетать для решения своих задач. А сейчас мы имеем коллекцию виртуальных устройств: вот вам программа-калькулятор, а вот печатная машинка, и что-то для рисования: можно использовать одно или другое — они как отдельные предметы, которые лежали на физическом рабочем столе, только переключаться между ними стало немного легче. Юникс и ГНУ/Линукс были именно расширяемыми системами, но для графического интерфейса взяли коммерчески-ориентированный десктоп с приложениями, унаследованный от Мака и Виндовс, вместо того, чтобы ориентироваться на изначальные (еще не извращенные) идеи графического интерфейса PARC.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (52), 25-Янв-21, 05:58

> В Android вот есть изоляция приложений и разграничение прав
А толку от этого, если любая уважающая себя ведрограмма запрашивает доступ на всё на свете, иначе отказывается работать.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 09:00

Открываешь для себя fdroid
@
Оказывается, что софт может работать с минимумом разрешений

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноним (52), 25-Янв-21, 09:48

Наивный чукотский мальчик, оказывается, что софт может НЕ работать с минимумом разрешений.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от iPony129412 (?), 25-Янв-21, 07:13

А так что вы хотите от проекта, где инструкцию на сайте поменять в два предложения - это целое дело, требующее серьёзного разбирательства: "а как же это? а кто этим занимается? как это сделать?".
https://github.com/flatpak/flatpak.github.io/issues/450

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +1 +/–

Сообщение от Аноним (70), 25-Янв-21, 08:17

Эта ссылка должна была быть в первом же комментарии про flatpak: http://flatkill.org/2020/
NixOS и GNU Guix System - наше всё.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Gnus (?), 25-Янв-21, 08:55

Guix был бы хорош, если они сделали как в NixOS, где можно указать опцию и у тебя есть non-free, а так приходится собирать самому ядро с доступом к firmware, без которых AMD карты - тыквы.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноньимъ (ok), 25-Янв-21, 14:24

Вы можете гуикс на любой линукс установит.
Ос же на основе гуикса называется GuixSD.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от Аноньимъ (ok), 25-Янв-21, 14:26

Но я согласен что нужна нонфри версия. Ну или возможность это легко включить.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

77. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +2 +/–

Сообщение от Dzen Python (ok), 25-Янв-21, 09:02

Системы все так же отжирают собой все доступное место, спасая диск от юзерских файлов?

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

83. "Уязвимость во Flatpak, позволяющая обойти режим изоляции" +/–

Сообщение от iPony129412 (?), 25-Янв-21, 09:43

Что то, что это — сплошная пионерия на палках и этом самом.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+29 +/–
Сообщение от Аноним (1), 24-Янв-21, 20:08
Уязвимость в Flatpak, позволяющая сделать ненужное нужным?
Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+6 +/–
	Сообщение от VINRARUS (ok), 25-Янв-21, 00:15
	Уязвимость в Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик пакетов в себе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+6 +/–
	Сообщение от Аноним (52), 25-Янв-21, 01:08
	Уязвимость во Flatpak, позволяющая сделать из установщика изолированых пакетов просто установщик дыр.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от An O Nim (?), 25-Янв-21, 09:31
	Так и есть, в общем-то. Зависимости третьей стороны в каждом пакете свои, неизвестно кто собирает, а то и просто чужие готовые бинари. Если исходники нужного приложения ещё можно посмотреть/пересобрать, например. То зависимости - трудоёмко. Выходит, тащишь в систему непроверяемый/неизвестный код третьей стороны. А вот классическое устройство дистрибутива позволяет легко получить и собрать все части - apt get install srcdeb
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+2 +/–
	Сообщение от Аноньимъ (ok), 25-Янв-21, 14:13
	>А вот классическое устройство дистрибутива позволяет легко получить и собрать все части >apt Не позволяет. Депенденси Хелл протухшие либы и конфликты зависимостей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	98. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	–2 +/–
	Сообщение от Аноним (98), 25-Янв-21, 23:38
	Таких проблем не существует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от An O Nim (?), 29-Янв-21, 13:20
	Типа того. В инфраструктуре дистра собрать удавалось с меньшими трудозатратами. Чем разбежавшийся зоопарк третьей стороны. Может потому как дистр славен своей системой контроля качества. Бывают и другие, да.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	106. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (106), 31-Янв-21, 15:37
	Именно поэтому, я за NixOS!
	Ответить \| Правка \| К родителю #91 \| Наверх \| Cообщить модератору

2. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+14 +/–
Сообщение от Аноним (2), 24-Янв-21, 20:09
Snap нужнее не стал.
Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+2 +/–
	Сообщение от ОхотникНаОленей (?), 24-Янв-21, 23:09
	Почему? Ставить всякий прикладной софт через snap нежели из пакетов, самое оно, когда каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки, и другие не могут, т.к. монтируется snapfs с целоостностью бинарников. Всякие телеграмы, хромы, прочая снедь, ей самое место в снап, так надёжнее и дешевле чем заводить lxd или kata-containers для каждого. У известных пакетов типа apache, mysql я понимаю по своему юзер/группе и это решается стандартными правами. Но заводить по юзеру на каждое прикладное? И как оно в десктопе, в контексте одного $home жить будет? Умных все корчат и вторят ернуду. А ещё в snap унифицирован контроль над ресурсами приложению, можно в один чих дать или нет интернет/сеть приложению, дать или нет соединению с другими, микрофон, камера, все все видно что потребляет приложение и можно дать/забрать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+1 +/–
	Сообщение от Аноним (33), 24-Янв-21, 23:21
	> когда каждая софтина живёт в своём snap-окружении Как и во флатпак > А ещё в snap унифицирован контроль над ресурсами приложению Как и во флатпак. А еще во флатпаке есть разделяемые рантаймы Но как видим, это все не спасает, и в снапе найдут дыры когда-нибудь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+3 +/–
	Сообщение от Анон1632776693 (?), 25-Янв-21, 02:51
	Охотник на оленей поймал оленя за рога
	Ответить \| Правка \| Наверх \| Cообщить модератору


	101. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ОхотникНаОленей (?), 26-Янв-21, 07:34
	Разумеется, ведь snap и flatpak сестринские проекты, flatpak моложе, у флетпака свои фишки есть.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	102. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ОхотникНаОленей (?), 26-Янв-21, 18:51
	> Как и в Flatpak Дадад snap и flatpak это две палочки Твикс, но как сказал человек где-то выше > Когда нибудь найдут дыру и в snap Ну вообще методологию эшелонированой защиты никто не отменял, и как правильно сказал человек выше, любая дырявось в flatpak превращает "изолированные" flatpak приложения в обычные "из папки opt" (как у 99% оленей сейчас, которым "ненужное не нужно")
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	44. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+5 +/–
	Сообщение от Аноним (44), 25-Янв-21, 00:48
	Вот вангую что через года 2 каноникал выбросит свой снап. И перейдет на flatpak...
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	53. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (52), 25-Янв-21, 01:09
	Неее, через пару лет всё это выкинут и напишут флетснапак.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+6 +/–
	Сообщение от муу (?), 25-Янв-21, 01:50
	системд-флетснаппакд
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+2 +/–
	Сообщение от Аноним (90), 25-Янв-21, 11:30
	к тому времени все перейдут на фрю
	Ответить \| Правка \| К родителю #44 \| Наверх \| Cообщить модератору


	73. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	–1 +/–
	Сообщение от лютый жабби__ (?), 25-Янв-21, 08:44
	>телеграмы веб-версия >хромы chromium из под su, смысл его песочить, самый секурный браузер ) >прочая снедь еда? может просто совсем не устанавливать откровенное гомно?
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	104. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Щас начнем анонимно (?), 27-Янв-21, 12:00
	"...каждая софтина живёт в своём snap-окружении (и она не может попортить/почитать конфиги соседних приложений одного юзера из его .config папки,..." Смешно. На днях по приколу поставил snap chromium и он автоматом подтянул в себя все настройки и расширения из установленного Chromium.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	87. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+4 +/–
	Сообщение от Аноним (87), 25-Янв-21, 11:10
	Нет, только AppImage.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+7 +/–
Сообщение от Аноним (3), 24-Янв-21, 20:10
> несмотря на наличие в описании пакета метки "sandboxed" Шедевр, девляпсы!!!
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+6 +/–
	Сообщение от Аноним (7), 24-Янв-21, 20:20
	смузихлебы
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	–5 +/–
	Сообщение от Аноним (7), 24-Янв-21, 20:20
	растофаны
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от An O Nim (?), 25-Янв-21, 09:34
	Может быть, следующие рекомендациям отдела кадров - дерзай, дерзай... Но вот как правильно дерзать - этому, почему-то, уже не учат в кадрах. Т.к. это дело ВУЗ'а/Универа.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	–2 +/–
Сообщение от Аноним (2), 24-Янв-21, 20:10
FlatHub пакеты не дают доступ к домашнему каталогу, нужно переопределение доступов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 24-Янв-21, 20:58
	у некоторых пакетов прописан доступ к домашнему каталогу по дефолту. Например, хромиум не умеет в порталы, так что электроноподелкам для работы нужен доступ к домашнему каталогу, или они становятся бесполезными.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+1 +/–
	Сообщение от Аноним (44), 25-Янв-21, 00:34
	Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и поделия на електроне прекрасно работают без доступа вообще ко всему. Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета неможет в сандбокс. Там одну строку изменить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от ilyafedin (ok), 25-Янв-21, 00:35
	> Ты немного бред говоришь. Flatpak умеет подсовывать фейковый /home для програм, и > поделия на електроне прекрасно работают без доступа вообще ко всему. > Плюс никто не мешает отредактировать права доступа по умолчанию, если разработчик пакета > неможет в сандбокс. Там одну строку изменить. Как только попытаешься открыть файловый диалог без доступа к /home, увидишь, что файловый диалог ничего не видит
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость во Flatpak, позволяющая обойти режим изоляции"	+/–
	Сообщение от Аноним (44), 25-Янв-21, 00:40
	Ммм, файловый диалог видит вообще-то все, если он системный. И еще и может передать ОДИН файл в прогу. Обнови flatpak дружище.
	Ответить \| Правка \| Наверх \| Cообщить модератору