Loaʻa ka hoʻokuʻu ʻana o nā mea hana no ka hoʻonohonoho ʻana i ka hana o nā kaiapuni kaʻawale ʻo Bubblewrap 0.6, hoʻohana pinepine ʻia e kaohi i nā noi pilikino o nā mea hoʻohana pono ʻole. Ma ka hoʻomaʻamaʻa, hoʻohana ʻia ʻo Bubblewrap e ka papahana Flatpak ma ke ʻano he papa e hoʻokaʻawale i nā noi i hoʻokuʻu ʻia mai nā pūʻulu. Ua kākau ʻia ke code papahana ma C a ua māhele ʻia ma lalo o ka laikini LGPLv2+.
No ka hoʻokaʻawale ʻana, hoʻohana ʻia nā ʻenehana virtualization pahu Linux maʻamau, e pili ana i ka hoʻohana ʻana i nā cgroups, namespaces, Seccomp a me SELinux. No ka hana ʻana i nā hana pono e hoʻonohonoho i kahi pahu, hoʻomaka ʻia ʻo Bubblewrap me nā kuleana kumu (kahi faila me ka hae suid) a laila hoʻihoʻi i nā pono ma hope o ka hoʻomaka ʻana o ka ipu.
ʻAʻole koi ʻia ka hoʻoulu ʻana o nā inoa inoa mea hoʻohana ma ka ʻōnaehana inoa, kahi e hiki ai iā ʻoe ke hoʻohana i kāu mau ʻike ponoʻī i loko o nā pahu, ʻaʻole koi ʻia no ka hana ʻana, no ka mea ʻaʻole ia e hana ma ka paʻamau i nā māhele he nui (Ua hoʻonoho ʻia ʻo Bubblewrap ma ke ʻano he hoʻokō suid palena o kahi subset o nā mea hiki i nā inoa inoa hoʻohana - e hoʻokaʻawale i nā mea hoʻohana a me nā mea hōʻike kaʻina hana mai ke kaiapuni, koe ka mea i kēia manawa, hoʻohana ʻia nā ʻano CLONE_NEWUSER a me CLONE_NEWPID). No ka pale hou aku, hoʻomaka ʻia nā polokalamu i hana ʻia ma lalo o ka Bubblewrap ma ke ʻano PR_SET_NO_NEW_PRIVS, kahi e pāpā ai i ka loaʻa ʻana o nā pono hou, no ka laʻana, inā aia ka hae setuid.
Hoʻopau ʻia ka hoʻokaʻawale ʻana i ka pae ʻōnaehana faila ma ka hana ʻana i kahi inoa inoa mauna hou ma ke ʻano maʻamau, kahi i hana ʻia ai kahi ʻāpana kumu ʻole me ka hoʻohana ʻana i nā tmpfs. Inā pono, hoʻopili ʻia nā ʻāpana FS o waho i kēia ʻāpana ma ke ʻano "mauna -bind" (no ka laʻana, i ka wā i hoʻokuʻu ʻia me ka koho "bwrap -ro-bind /usr /usr", ua hoʻouna ʻia ka ʻāpana /usr mai ka ʻōnaehana nui. ma ke ʻano heluhelu-wale nō). Ua kaupalena ʻia nā mea hiki i ka pūnaewele ke komo i ka interface loopback me ka hoʻokaʻawale ʻana i ka hoʻopaʻa pūnaewele ma o nā hae CLONE_NEWNET a me CLONE_NEWUTS.
ʻO ka ʻokoʻa koʻikoʻi mai ka papahana Firejail like, ka mea hoʻohana hoʻi i ke kumu hoʻohālikelike setuid, ʻo ia ma Bubblewrap ka papa hana ipu e loaʻa wale i nā pono liʻiliʻi e pono ai, a me nā hana holomua āpau e pono ai no ka holo ʻana i nā noi kiʻi, e launa pū me ka papapihi a me nā noi kānana. i Pulseaudio, hoʻoili ʻia i ka ʻaoʻao Flatpak a hoʻokō ʻia ma hope o ka hoʻihoʻi ʻia ʻana o nā pono. ʻO Firejail, ma ka ʻaoʻao ʻē aʻe, hoʻohui i nā hana pili āpau i hoʻokahi faila hiki ke hoʻokō ʻia, kahi mea paʻakikī i ka loiloi a mālama i ka palekana ma ka pae kūpono.
I ka hoʻokuʻu hou:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
Source: opennet.ru