关键信息总结 CVE编号: CVE-2024-42472 相关仓库: flatpak/flatpak 提交信息: - 提交哈希: 3caeb16 - 提交日期: 2024年8月13日 - 提交者: alexlarsson 和 smcv 修复内容: - 问题描述: 在挂载持久性目录时,不应该跟随符号链接,因为这些目录在应用程序控制的位置,无法信任其外部的文件系统。 - 修复措施: 修改了 文件,添加了新函数 ,该函数在创建目录时不会跟随符号链接,并且会检查是否存在恶意的或受损害的应用程序。 - 相关代码更改: 影响说明: - 此措施部分解决了CVE-2024-42472漏洞,避免了在仅有一个恶意或受损害的应用程序运行时的漏洞利用。 - 如果两个实例可以同时运行,还会剩下时间检查/使用时间问题;这需要对bubblewrap进行更改;这将在单独的提交中解决,因为bubblewrap依赖关系可能更难以在长期支持的分发中提供。 其他备注: - 不允许路径中的".."元素,因为这可能会混淆持久路径处理。 - 提交者添加了测试案例和警告信息,提高了代码的健壮性和安全性。 - 提交者还提到了另一个相关漏洞GHSA-7hgv-f2j8-xw87。