Viele Linux Nutzer setzen Flatpak ein, um aktuelle Versionen von Apps zu beziehen oder diese in ein abgeschotteten Sandbox laufen lassen zu können. Gerade für diese Isolationsmethode wurde nun eine potenzielle Sicherheitslücke gefunden, die einen Ausbruch ermöglicht hätte. Ferner wäre das Ausführen von beliebigen Code möglich gewesen. Die Lücke wird mit CVE-2024-32462 beschrieben. Es besteht demnach Handlungsbedarf.
Ein Patch steht schon bereit. Je nach verwendeter Linux Distribution kommen laut CVE-2024-32462 verschiedene Ziel-Verionsstände zustande. Für den stabilen Zweig wird Flatpak 1.14.6 angeboten. Ältere Versionen werden mit Flatpak 1.12.9 und 1.10.9 bedient. Die Entwicklungsumgebung erhält Flatpak 1.15.8.
Für Debian Stable Nutzer steht bereits kurzfristig eine korrigierte Version von Flatpak 1.14.4-1+deb12u1 via Update bereit. Im derzeit noch aktuellen Ubuntu 22.04 LTS Zweig steht Stand 20.4.2024 noch kein Patch bereit. Im Reich der Mitbewerberlösung Snap verwundert mich das irgendwie nicht. Wer sich selbst kurzfristig und eigenverantwortlich Abhilfe schaffen möchte, kann das offizielle PPA der Flatpak Entwickler via Terminal wie folgt einbinden:
sudo add-apt-repository ppa:flatpak/stable
Danach wird Flatpak 1.14.6 für Ubuntu 22.04 als Aktualisierung eingespielt. Doch bitte beachten: PPAs können bei Systemupgrades Probleme verursachen. Wer sich also schon die Hände nach Ubuntu 24.04 LTS schleckt und jetzt das Flatpak PPA einbindet, könnte beim Upgrade in Fehler hineinlaufen, muss aber nicht. Das kann aktuell nicht abgeschätzt werden. Daher die Warnung. Da mein Ubuntu 22.04 LTS System frühestens im Rahmen des offiziellen Upgrade-Pfads auf Ubuntu 24.04 LTS aktualisiert wird, habe ich mich für die Flatpak PPA Lösung entschieden. Das muss aber jeder für sich selbst entscheiden. Ich gebe keine pauschale Empfehlung.
Andere Distributionen sollten zeitnah aktualisierte Paketversionen für Flatpak oder eine Lösung hierfür anbieten. Falls nicht, könnte dies ein guter Grund zum Nachdenken sein.
Schreibe einen Kommentar