• [^] # Re: les navigateurs moins populaires

    Posté par (Mastodon) . En réponse au lien the WebP 0day. Évalué à 4. Dernière modification le 22 septembre 2023 à 12:08.

    EDIT: dans le cas de la silverblue, c'est pas claire si org.fedoraproject.Platform se substitue pas à org.freedesktop.Platform ou si le second dépend du premier (https://src.fedoraproject.org/flatpaks/flatpak-runtime).

    Bref si je regardes l'info de mon paquet org.freedesktop.Platform je vois un dernier commit le 3 septembre:
    `$ flatpak info org.freedesktop.Platform
    Freedesktop Platform - Shared libraries

     ID: org.freedesktop.Platform
     Ref: runtime/org.freedesktop.Platform/x86_64/22.08
     Arch: x86_64
     Branch: 22.08
     Version: 22.08.15
     License: MIT
     Origin: flathub
    

    Collection: org.flathub.Stable
    Installation: system
    Installed: 568,7 Mo

     Commit: 5644f61a158b5437141ba41ecba1e71ccf2d29caaaa24ae04251d2f7fcd9daeb
     Parent: 5c8d805b97240ba857b1a63e64fb27fdcf23bb3c2926a5cf6c0d25de23c277fb
     Subject: Export org.freedesktop.Platform
     Date: 2023年09月03日 09:45:13 +0000
    

    `

    Et un paquet qui a été mis à jour le 13 sur cette machine:

    $ flatpak history
    Time Change Application Branch Installation Remote
    [...]
    sept. 15 17:49:07 deploy install org.freedesktop.Platform 22.08 system flathub

    Mais le merge qui contient le fix pour ce CVE n'est pas dans la branche qui a encore été distribuée sur le flathub apparemment:
    https://gitlab.com/freedesktop-sdk/freedesktop-sdk/-/commit/480756bd69a32b00f093b052e256662d4b1e4708

    Du coup selon moi, gnome-web/epiphany tel qu'installé sur ma silverblue est peut-être toujours vulnérable.

    Quelqu'un plus proche du developpement de la Silverblue et de flathub peut m'éclairer sur ce point? J'avoue que je suis encore un peu novice avec flatpak.