Fedora: Pinephone Audiobug gefunden

Liebe Linuxphone-Fans,

vor einigen Tagen viel auf, daß das Pinephone nichts mehr aufnahm. Dem kann nun abgeholfen werden.

Fedora: Pinephone Audiobug gefunden

In einer Aufgabenstellung, die Hercules, Asterix und Obelix alt aussehen lässt, habe ich in rund 5 Stunden alle 130 Updates, die als Auslöser in Frage gekommen sind, von Hand eingespielt und geprüft. Wie oft das Handy rebootet wurde könnte ich nicht aufzählen. Die Mühe hat sich gelohnt, wir haben jetzt einen Matrixserver.. Wait what? Ähm ja, also äh anderes Thema.

Es war Pipewire 0.3.21-2. Besorgt Euch von Koji einfach diese Pakete:

pipewire0.2-libs-0.2.7-4.fc33.aarch64.rpm
pipewire-0.3.20-1.fc34.aarch64.rpm
pipewire-alsa-0.3.20-1.fc34.aarch64.rpm
pipewire-gstreamer-0.3.20-1.fc34.aarch64.rpm
pipewire-libs-0.3.20-1.fc34.aarch64.rpm
pipewire-pulseaudio-0.3.20-1.fc34.aarch64.rpm

und installiert die mit „dnf -y downgrade pipew*0.3.20*rpm„. Danach noch ein Reboot und der Ton ist wieder aufzeichenbar, sprich man wird wieder gehört am anderen Ende. Wenn Ihr schon dabei seid, und das noch nicht gemacht habt, dann downgraded auch glib2 auf 2.67.1, machts leben leichter 😉

Soviel also zum „pipewire wäre schon fertig“ Gerücht 😀

Noch ein Tip:

Überlegt Euch genau ob Ihr Flatpaks nutzen wollt: Schon die erste App, die Gnome braucht, verballert schon 1 GB auf der Platte an Abhängigkeiten! Das System ist echt krank.

Sandbox-Escape: Sicherheitslücke in Flatpak behoben

Wer von Euch Flatpaks einsetzt, möchte jetzt vermutlich gleich mal den Updatebutton drücken: Sandbox-Escape in Flatpak Version < 1.8.5,1.10.0

Sandbox-Escape: Sicherheitslücke in Flatpak behoben

Für alle, die nicht wissen was Flatpaks sind, es handelt sich dabei um distributionsunabhängige Programmpakete, die, sonst würde es keine Sicherheitslücke sein, in sich gekapselte Container sind.

Der Gedanke ist, daß man als Entwickler alles mitliefert was die Anwendung braucht, ohne auf das Betriebssystem angewiesen zu sein. Der Nachteil davon ist … genau das: Jede Anwendung kann Zeug mitbringen, daß komplett veraltet und buggy ist. Deswegen schließen die Containerverwaltungen wie Flatpak, Snap und Docker die Inhalte in eine Sandbox ein, aus der das Programm nur unter bestimmten Vorgaben ausbrechen kann, z.b. um eine Bild-Datei zu öffnen. Dem Programmcode ist es aber nicht erlaubt, außerhalb seiner Sandbox etwas auszuführen.

Sandbox-Ausbruch

Im passenden Advisory steht dazu:

In vulnerable versions, the Flatpak portal service passes caller-specified environment variables to non-sandboxed processes on the host system, and in particular to the „flatpak run“ command that is used to launch the new sandbox instance. A malicious or compromised Flatpak app could set environment variables that are trusted by the „flatpak run“ command, and use them to execute arbitrary code that is not in a sandbox.
https://github.com/flatpak/flatpak/security/advisories/GHSA-4ppf-fxf6-vxg2

Das meint, ein Prozess innerhalb des Flatpaks kann über den DBUS anderen Prozessen Umgebungsvariablen setzen, die diese dann beachten und so aus der Sandbox auszubrechen, obwohl so nur Prozesse gestartet werden sollten, die gleiche oder weniger Rechte haben, als der ausrufende Elternprozess.

Für Fedora ist die abgesicherte Flatpak Version 1.8.5-1 erschienen:

——————————————————————————–
Fedora Update Notification FEDORA-2021-f807eb480a from 2021-01-19 01:50:48.910487
——————————————————————————–
Update Information:

This is a security update that fixes a sandbox escape where a malicious application can execute code outside the sandbox by controlling the environment of the „flatpak run“ command when spawning a sub-sandbox. See the advisory for details: https://github.com/flatpak/flatpak/security/advisories/GHSA-4ppf-fxf6-vxg2
——————————————————————————–

Wer nicht auf Fedora als System setzt, der kann auf 1.8.5 oder 1.10.0 updaten, die beide dagegen gesichert sind.

Wer mehr über Flatpak wissen möchte, kann die Seiten flatpak.org und wiki.gnome.org/Projects/SandboxedApps besuchen.

Flatpak ist */()$§*#D3§$

Ich fand ja FlatPak schon im letzten Artikel nicht so prall, wegen der ganzen Platzverschwendung, aber das hier topt es grade :

[marius ~]$ /usr/bin/flatpak info "com.belledonnecommunications.linphone/x86_64/4.1.1"
Ref: app/com.belledonnecommunications.linphone/x86_64/4.1.1
ID: com.belledonnecommunications.linphone
Arch: x86_64
Branch: 4.1.1
Origin: com.belledonnecommunications.linphone-1-origin
Commit: bae79f29ce390b6b28254cba0ae63f1bbb8d9a30f50acce422ce5ef1f1839441
Location: /home/marius/.local/share/flatpak/app/com.belledonnecommunications.linphone/x86_64/4.1.1/bae79f29ce390b6b28254cba0ae63f1bbb8d9a30f50acce422ce5ef1f1839441
Installed size: 315,4 MB
Runtime: org.freedesktop.Platform/x86_64/1.6
[marius ~]$ /usr/bin/flatpak update "com.belledonnecommunications.linphone/x86_64/4.1.1"
Looking for updates...
Fehler: com.belledonnecommunications.linphone/x86_64/4.1.1 not installed
[marius ~]$ /usr/bin/flatpak update app/com.belledonnecommunications.linphone/x86_64/4.1.1
Looking for updates...
Fehler: app/com.belledonnecommunications.linphone/x86_64/4.1.1 not installed

Also, mit der original REF, die die INFO Anweisung ausgibt ODER die auch LIST ausgibt, behauptet Flatpak, die Anwendung wäre nicht installiert. Lustigerweise will er die Starten, was übrigens nicht geht, weil die NVIDIA Treiber aktualisiert worden sind und nun die von Flatpak installierten Treiber zu den Treibern nicht mehr passen:

Installiert ist 384.90 , aber Flatpak hat noch 375 im Einsatz :

[marius]$ flatpak list
Ref Options 
com.belledonnecommunications.linphone/x86_64/4.1.1 user,current
org.freedesktop.Platform.GL.nvidia-375-66/i386/1.4 user,runtime
org.freedesktop.Platform.GL.nvidia-375-66/x86_64/1.4 user,runtime
org.freedesktop.Platform/x86_64/1.6 user,runtime

Das Ende von Lied: LinPhone startet nicht mehr 😀 Natürlich updated flatpak auch nichts, wenn man nur „update“ eingibt, was alles aktualisiert laut Manpage, aber es gibt wohl kein Update dafür 😀

Fazit: Tolle Idee son System im System 😀

Aufruf: Nieder mit den Flatpaks und Snappys dieser Welt. Es lebe DNF ! 😉

PS: Zu DNF kommen wir morgen nochmal 😀

Update: Annahme verweigert

Der Red Hat Bugbetreuer hat die Meldung, daß die installierten Flatpakapps nicht gefunden werden, wenn man sie namentlich angibt, als „Kein Bug“/“Kein Supportforum“ abgetan. Also entweder der weiß mehr als wir zu dem Thema, oder er hat leider keine Vorstellung davon, was ein Bug in Flatpak sein könnte 🙂

Mal sehen was per Github vom Projektmaintainer kommt :  https://github.com/flatpak/flatpak/issues/1139