Viele Linux Nutzer setzen Flatpak ein, um aktuelle Versionen von Apps zu beziehen oder diese in ein abgeschotteten Sandbox laufen lassen zu können. Gerade für diese Isolationsmethode wurde nun eine potenzielle Sicherheitslücke gefunden, die einen Ausbruch ermöglicht hätte. Ferner wäre das Ausführen von beliebigen Code möglich gewesen. Die Lücke wird mit CVE-2024-32462 beschrieben. Es besteht demnach Handlungsbedarf.
Ein Patch steht schon bereit. Je nach verwendeter Linux Distribution kommen laut CVE-2024-32462 verschiedene Ziel-Verionsstände zustande. Für den stabilen Zweig wird Flatpak 1.14.6 angeboten. Ältere Versionen werden mit Flatpak 1.12.9 und 1.10.9 bedient. Die Entwicklungsumgebung erhält Flatpak 1.15.8.
Für Debian Stable Nutzer steht bereits kurzfristig eine korrigierte Version von Flatpak 1.14.4-1+deb12u1 via Update bereit. Im derzeit noch aktuellen Ubuntu 22.04 LTS Zweig steht Stand 20.4.2024 noch kein Patch bereit. Im Reich der Mitbewerberlösung Snap verwundert mich das irgendwie nicht. Wer sich selbst kurzfristig und eigenverantwortlich Abhilfe schaffen möchte, kann das offizielle PPA der Flatpak Entwickler via Terminal wie folgt einbinden:
sudo add-apt-repository ppa:flatpak/stable
Danach wird Flatpak 1.14.6 für Ubuntu 22.04 als Aktualisierung eingespielt. Doch bitte beachten: PPAs können bei Systemupgrades Probleme verursachen. Wer sich also schon die Hände nach Ubuntu 24.04 LTS schleckt und jetzt das Flatpak PPA einbindet, könnte beim Upgrade in Fehler hineinlaufen, muss aber nicht. Das kann aktuell nicht abgeschätzt werden. Daher die Warnung. Da mein Ubuntu 22.04 LTS System frühestens im Rahmen des offiziellen Upgrade-Pfads auf Ubuntu 24.04 LTS aktualisiert wird, habe ich mich für die Flatpak PPA Lösung entschieden. Das muss aber jeder für sich selbst entscheiden. Ich gebe keine pauschale Empfehlung.
Andere Distributionen sollten zeitnah aktualisierte Paketversionen für Flatpak oder eine Lösung hierfür anbieten. Falls nicht, könnte dies ein guter Grund zum Nachdenken sein.
Benutze nach einem Jahr Hopping seit Februar LMDE 6:
XZ-Backdoor wurde einen Tag später behoben, bzw. aktuallisiert.
Kernel-Sicherheitslücke ebenfalls am nächsten Tag behoben, bzw. aktuallisiert.
Flatpak-Sicherheitsloch heute 10 Uhr behoben, bzw. aktuallisiert.
Und alles läuft wie geschmiert, ohne Probleme!
Viiielen Dank an’s Linux Mint-Team. Ihr seit echt auf Zack.
Arch (current): Flatpak 1.15.8-1! :-)))
Wäre schön den Containerkrempel im BS problemlos deinstallieren zu können. Ich habs versucht und mir dabei mein LMDE_6 zerschossen (Cinnamon).
Aktiv nutzen tu ich Flatpak dennoch nicht.
Synaptic ist und bleibt erste Wahl, falls ich Software/Programme benötige.
Ich habe das 1.14.6 Update auf Zorin 17 bekommen. Da das eine Ubuntu Base hat, sollte es wohl auch bei Ubuntu direkt verfügbar sein schätze ich mal.
@Ich nein, Ubuntu 23.10 läuft noch mit 1.14.4 … Eigentlich unglaublich
An Perval:
Oh, interessant! Ob das vielleicht an der STS Version liegt? Zorin benutzt ja die Ubuntu 22 LTS version.
@Alex
Ich habe LMDE 6 auf einem USB-Stick installiert (Testumgebung).
Nach Aktualisierung immer noch “Flatpak 1.14.4”
Woran kann das liegen, das du eine Aktualisierung bekamst, ich aber nicht?
evtl. Spiegelserver?
Hat hier jemand eine Idee?