阿里云漏洞库

漏洞描述

Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统。

Flatpak 1.12.3和1.10.6之前版本存在安全漏洞，攻击者可利用该漏洞通过恶意应用程序替换appstream util二进制文件，并可能执行其他恶意操作。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/flatpak/flatpak/security/advisories/GHSA-8ch7-5j3h-g4fx

参考链接
https://github.com/flatpak/flatpak/commit/445bddeee657fdc8d2a0a1f0de12975400d4fc1a
https://github.com/flatpak/flatpak/commit/4d11f77aa7fd3e64cfa80af89d92567ab9e8e6fa
https://github.com/flatpak/flatpak/security/advisories/GHSA-8ch7-5j3h-g4fx
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202312-12
https://www.debian.org/security/2022/dsa-5049

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	flatpak	flatpak	*		Up to (excluding) 1.10.7
	运行在以下环境
	应用	flatpak	flatpak	*	From (including) 1.11.1	Up to (excluding) 1.12.4
	运行在以下环境
	应用	flatpak	flatpak-builder	*		Up to (excluding) 1.2.2
	运行在以下环境
	系统	alibaba_cloud_linux_3	flatpak-builder	*		Up to (excluding) 1.0.14-2.al8
	运行在以下环境
	系统	alma_linux_8	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8
	运行在以下环境
	系统	alpine_3.15	flatpak	*		Up to (excluding) 1.12.5-r0
	运行在以下环境
	系统	alpine_3.16	flatpak	*		Up to (excluding) 1.2.2-r0
	运行在以下环境
	系统	alpine_3.17	flatpak	*		Up to (excluding) 1.2.2-r0
	运行在以下环境
	系统	alpine_3.18	flatpak	*		Up to (excluding) 1.2.2-r0
	运行在以下环境
	系统	alpine_3.19	flatpak	*		Up to (excluding) 1.2.2-r0
	运行在以下环境
	系统	amazon_2022	flatpak	*		Up to (excluding) 1.12.4-1.amzn2022.0.1
	运行在以下环境
	系统	debian_11	flatpak	*		Up to (excluding) 1.10.7-0+deb11u1
	运行在以下环境
	系统	debian_12	flatpak	*		Up to (excluding) 1.12.3-1
	运行在以下环境
	系统	fedora_34	flatpak	*		Up to (excluding) 1.10.7-1.fc34
	运行在以下环境
	系统	fedora_35	flatpak	*		Up to (excluding) 1.12.3-1.fc35
	运行在以下环境
	系统	kylinos_aarch64_V10	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	flatpak	*		Up to (excluding) 1.0.3-11.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	flatpak	*		Up to (excluding) 1.0.3-11.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	flatpak	*		Up to (excluding) 1.0.3-11.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	flatpak	*		Up to (excluding) 1.0.3-11.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	flatpak	*		Up to (excluding) 1.0.3-11.ky10
	运行在以下环境
	系统	opensuse_Leap_15.3	flatpak	*		Up to (excluding) 1.10.7-4.12.1
	运行在以下环境
	系统	oracle_8	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8
	运行在以下环境
	系统	redhat_8	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8
	运行在以下环境
	系统	rocky_linux_8	flatpak-builder	*		Up to (excluding) 1.0.14-2.el8

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-22	对路径名的限制不恰当（路径遍历）

中危 Flatpak 路径遍历漏洞（CVE-2022-21682）

漏洞描述

解决建议

参考链接

受影响软件情况