ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบเบฒเบ™เบ›เปˆเบญเบ Bubblewrap 0.6, เบŠเบฑเป‰เบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเป‰เบฒเบ‡เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเบ—เบตเปˆเป‚เบ”เบ”เบ”เปˆเบฝเบง

เบเบฒเบ™เบ›เปˆเบญเบ Bubblewrap 0.6, เบŠเบฑเป‰เบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเป‰เบฒเบ‡เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเบ—เบตเปˆเป‚เบ”เบ”เบ”เปˆเบฝเบง

เบเบฒเบ™เบ›เปˆเบญเบเป€เบ„เบทเปˆเบญเบ‡เบกเบทเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบˆเบฑเบ”เบ•เบฑเป‰เบ‡เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบญเบ‡เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเบ—เบตเปˆเป‚เบ”เบ”เบ”เปˆเบฝเบง Bubblewrap 0.6 เปเบกเปˆเบ™เบกเบตเบขเบนเปˆ, เป‚เบ”เบเบ›เบปเบเบเบฐเบ•เบดเปเบฅเป‰เบงเปเบกเปˆเบ™เปƒเบŠเป‰เป€เบžเบทเปˆเบญเบˆเปเบฒเบเบฑเบ”เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบชเปˆเบงเบ™เบšเบธเบเบ„เบปเบ™เบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰เบ—เบตเปˆเบšเปเปˆเบกเบตเบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”. เปƒเบ™เบ—เบฒเบ‡เบ›เบฐเบ•เบดเบšเบฑเบ”, Bubblewrap เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป‚เบ”เบเป‚เบ„เบ‡เบเบฒเบ™ Flatpak เป€เบ›เบฑเบ™เบŠเบฑเป‰เบ™เป€เบžเบทเปˆเบญเปเบเบเปเบญเบฑเบšเบžเบฅเบดเป€เบ„เบŠเบฑเบ™เบ—เบตเปˆเป€เบ›เบตเบ”เบ•เบปเบงเบญเบญเบเบˆเบฒเบเปเบžเบฑเบเป€เบเบฑเบ”. เบฅเบฐเบซเบฑเบ”เป‚เบ„เบ‡เบเบฒเบ™เปเบกเปˆเบ™เบ‚เบฝเบ™เป€เบ›เบฑเบ™ C เปเบฅเบฐเบ–เบทเบเปเบˆเบเบขเบฒเบเบžเบฒเบเปƒเบ•เป‰เปƒเบšเบญเบฐเบ™เบธเบเบฒเบ” LGPLv2+.

เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป‚เบ”เบ”เบ”เปˆเบฝเบง, เป€เบ—เบเป‚เบ™เป‚เบฅเบเบต virtualization container Linux เปเบšเบšเบ”เบฑเป‰เบ‡เป€เบ”เบตเบกเปเบกเปˆเบ™เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰, เบญเบตเบ‡เปƒเบชเปˆเบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰ cgroups, namespaces, Seccomp เปเบฅเบฐ SELinux. เป€เบžเบทเปˆเบญเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบ—เบตเปˆเบกเบตเบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”เปƒเบ™เบเบฒเบ™เบเปเบฒเบซเบ™เบปเบ”เบ„เปˆเบฒเบšเบฑเบ™เบˆเบธ, Bubblewrap เบ–เบทเบเป€เบ›เบตเบ”เบ•เบปเบงเบ”เป‰เบงเบเบชเบดเบ”เบ—เบดเบ‚เบญเบ‡เบฎเบฒเบ (เป„เบŸเบฅเปŒเบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰เบ”เป‰เบงเบเบ—เบธเบ‡ suid) เปเบฅเบฐเบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบ•เบฑเป‰เบ‡เบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”เปƒเบซเบกเปˆเบซเบผเบฑเบ‡เบˆเบฒเบเบเปˆเบญเบ‡เบšเบฑเบ™เบˆเบธเบ–เบทเบเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™.

เบเบฒเบ™เป€เบ›เบตเบ”เปƒเบŠเป‰ namespaces เบœเบนเป‰เปƒเบŠเป‰เปƒเบ™เบฅเบฐเบšเบปเบš namespace, เป€เบŠเบดเปˆเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เปƒเบŠเป‰เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เปเบเบเบ•เปˆเบฒเบ‡เบซเบฒเบเบ‚เบญเบ‡เบ•เบปเบ™เป€เบญเบ‡เปƒเบ™ containers, เปเบกเปˆเบ™เบšเปเปˆเบˆเปเบฒเป€เบ›เบฑเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ”เปเบฒเป€เบ™เบตเบ™เบ‡เบฒเบ™, เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบกเบฑเบ™เบšเปเปˆเป€เบฎเบฑเบ”เบงเบฝเบเป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เปƒเบ™เบซเบผเบฒเบเบเบฒเบ™เปเบˆเบเบขเบฒเบ (Bubblewrap เบ–เบทเบเบˆเบฑเบ”เปƒเบชเปˆเป€เบ›เบฑเบ™เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ” suid เบˆเปเบฒเบเบฑเบ”เบ‚เบญเบ‡ a. เบŠเบธเบ”เบเปˆเบญเบเบ‚เบญเบ‡เบ„เบงเบฒเบกเบชเบฒเบกเบฒเบ”เปƒเบ™เบเบฒเบ™เบ•เบฑเป‰เบ‡เบŠเบทเปˆเบœเบนเป‰เปƒเบŠเป‰ - เป€เบžเบทเปˆเบญเบเบปเบเป€เบงเบฑเป‰เบ™เบ•เบปเบงเบฅเบฐเบšเบธเบœเบนเป‰เปƒเบŠเป‰ เปเบฅเบฐเบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ—เบฑเบ‡เปเบปเบ”เบˆเบฒเบเบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบก, เบเบปเบเป€เบงเบฑเป‰เบ™เบญเบฑเบ™เบ›เบฑเบ”เบˆเบธเบšเบฑเบ™, เป‚เปเบ” CLONE_NEWUSER เปเบฅเบฐ CLONE_NEWPID เบ–เบทเบเปƒเบŠเป‰). เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบ›เบปเบเบ›เป‰เบญเบ‡เป€เบžเบตเปˆเบกเป€เบ•เบตเบก, เป‚เบ›เบฃเปเบเบฃเบกเบ—เบตเปˆเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบžเบฒเบเปƒเบ•เป‰ Bubblewrap เบˆเบฐเบ–เบทเบเป€เบ›เบตเบ”เบ•เบปเบงเปƒเบ™เป‚เบซเบกเบ” PR_SET_NO_NEW_PRIVS, เป€เบŠเบดเปˆเบ‡เบซเป‰เบฒเบกเบเบฒเบ™เป„เบ”เป‰เบฎเบฑเบšเบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”เปƒเบซเบกเปˆ, เบ•เบปเบงเบขเปˆเบฒเบ‡, เบ–เป‰เบฒเบกเบตเบ—เบธเบ‡ setuid.

เบเบฒเบ™เป‚เบ”เบ”เบ”เปˆเบฝเบงเปƒเบ™เบฅเบฐเบ”เบฑเบšเบฅเบฐเบšเบปเบšเป„เบŸเบฅเปŒเปเบกเปˆเบ™เบชเปเบฒเป€เบฅเบฑเบ”เป‚เบ”เบเบเบฒเบ™เบชเป‰เบฒเบ‡ namespace mount เปƒเบซเบกเปˆเป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™, เปƒเบ™เบเบฒเบ™เปเบšเปˆเบ‡เบ›เบฑเบ™เบฎเบฒเบเบ—เบตเปˆเบซเบงเปˆเบฒเบ‡เป€เบ›เบปเปˆเบฒเปเบกเปˆเบ™เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเปƒเบŠเป‰ tmpfs. เบ–เป‰เบฒเบˆเปเบฒเป€เบ›เบฑเบ™, เบเบฒเบ™เปเบšเปˆเบ‡เบ›เบฑเบ™ FS เบžเบฒเบเบ™เบญเบเปเบกเปˆเบ™เบ•เบดเบ”เบเบฑเบšเบžเบฒเบ—เบดเบŠเบฑเบ™เบ™เบตเป‰เปƒเบ™เป‚เบซเบกเบ” "mount โ€”bind" (เบ•เบปเบงเบขเปˆเบฒเบ‡, เป€เบกเบทเปˆเบญเป€เบ›เบตเบ”เบ•เบปเบงเบ”เป‰เบงเบเบ•เบปเบงเป€เบฅเบทเบญเบ "bwrap โ€”ro-bind / usr / usr", / usr partition เบˆเบฐเบ–เบทเบเบชเบปเปˆเบ‡เบ•เปเปˆเบˆเบฒเบเบฅเบฐเบšเบปเบšเบ•เบปเป‰เบ™เบ•เป. เปƒเบ™โ€‹เบฎเบนเบšโ€‹เปเบšเบšโ€‹เบเบฒเบ™โ€‹เบญเปˆเบฒเบ™โ€‹เป€เบ—เบปเปˆเบฒโ€‹เบ™เบฑเป‰เบ™โ€‹)โ€‹. เบ„เบงเบฒเบกเบชเบฒเบกเบฒเบ”เบ‚เบญเบ‡เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ–เบทเบเบˆเบณเบเบฑเบ”เปƒเบซเป‰เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบชเปˆเบงเบ™เบ•เบดเบ”เบ•เปเปˆ loopback เบ”เป‰เบงเบเบเบฒเบ™เป‚เบ”เบ”เบ”เปˆเบฝเบงเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบœเปˆเบฒเบ™เบ—เบธเบ‡ CLONE_NEWNET เปเบฅเบฐ CLONE_NEWUTS.

เบ„เบงเบฒเบกเปเบ•เบเบ•เปˆเบฒเบ‡เบ—เบตเปˆ เบชเบณ เบ„เบฑเบ™เบˆเบฒเบเป‚เบ„เบ‡เบเบฒเบ™ Firejail เบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™, เป€เบŠเบดเปˆเบ‡เบเบฑเบ‡เปƒเบŠเป‰เบฎเบนเบšเปเบšเบšเบเบฒเบ™เป€เบ›เบตเบ”เบ•เบปเบง setuid, เปเบกเปˆเบ™เบงเปˆเบฒเปƒเบ™ Bubblewrap เบŠเบฑเป‰เบ™เบเบฒเบ™เบชเป‰เบฒเบ‡เบ•เบนเป‰เบ„เบญเบ™เป€เบ—เบ™เป€เบ™เบตเบ›เบฐเบเบญเบšเบกเบตเบžเบฝเบ‡เปเบ•เปˆเบ„เบงเบฒเบกเบชเบฒเบกเบฒเบ”เบ‚เบฑเป‰เบ™เบ•เปˆเปเบฒเบ—เบตเปˆเบˆเปเบฒเป€เบ›เบฑเบ™, เปเบฅเบฐเบซเบ™เป‰เบฒเบ—เบตเปˆเบเป‰เบฒเบงเบซเบ™เป‰เบฒเบ—เบฒเบ‡เบ”เป‰เบฒเบ™เบ—เบฑเบ‡เบซเบกเบปเบ”เบ—เบตเปˆเบˆเปเบฒเป€เบ›เบฑเบ™เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เปเบฅเปˆเบ™เบ„เปเบฒเบฎเป‰เบญเบ‡เบชเบฐเบซเบกเบฑเบเบเบฒเบŸเบดเบ, เบเบฒเบ™เป‚เบ•เป‰เบ•เบญเบšเบเบฑเบš desktop เปเบฅเบฐเบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเบเบฒเบ™เบเบฑเปˆเบ™เบ•เบญเบ‡. เบเบฑเบš Pulseaudio, เป‚เบญเบ™เป„เบ›เบซเบฒเบเปˆเบฒเบ Flatpak เปเบฅเบฐเบ–เบทเบเบ›เบฐเบ•เบดเบšเบฑเบ”เบซเบผเบฑเบ‡เบˆเบฒเบเบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”เป„เบ”เป‰เบ–เบทเบเบ•เบฑเป‰เบ‡เบ„เบทเบ™เปƒเบซเบกเปˆ. เปƒเบ™เบ—เบฒเบ‡เบเบปเบ‡เบเบฑเบ™เบ‚เป‰เบฒเบก, Firejail เบฅเบงเบกเบ—เบธเบเบซเบ™เป‰เบฒเบ—เบตเปˆเบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบขเบนเปˆเปƒเบ™เป„เบŸเบฅเปŒเบ—เบตเปˆเบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰, เป€เบŠเบดเปˆเบ‡เป€เบฎเบฑเบ”เปƒเบซเป‰เบกเบฑเบ™เบเบฒเบเบ—เบตเปˆเบˆเบฐเบเบงเบ”เบชเบญเบšเปเบฅเบฐเบฎเบฑเบเบชเบฒเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเปƒเบ™เบฅเบฐเบ”เบฑเบšเบ—เบตเปˆเป€เบซเบกเบฒเบฐเบชเบปเบก.

เปƒเบ™เบเบฒเบ™เบ›เปˆเบญเบเปƒเบซเบกเปˆ:

  • ะ”ะพะฑะฐะฒะปะตะฝะฐ ะฟะพะดะดะตั€ะถะบะฐ ัะฑะพั€ะพั‡ะฝะพะน ัะธัั‚ะตะผั‹ Meson. ะŸะพะดะดะตั€ะถะบะฐ ัะฑะพั€ะบะธ ะฟั€ะธ ะฟะพะผะพั‰ะธ Autotools ะฟะพะบะฐ ัะพั…ั€ะฐะฝะตะฝะฐ, ะฝะพ ะฑัƒะดะตั‚ ัƒะดะฐะปะตะฝะฐ ะฒ ะพะดะฝะพะผ ะธะท ัะปะตะดัƒัŽั‰ะธั… ะฒั‹ะฟัƒัะบะพะฒ.
  • ะ ะตะฐะปะธะทะพะฒะฐะฝะฐ ะพะฟั†ะธั ยซโ€”add-seccompยป ะดะปั ะดะพะฑะฐะฒะปะตะฝะธั ะฑะพะปะตะต ั‡ะตะผ ะพะดะฝะพะน ะฟั€ะพะณั€ะฐะผะผั‹ seccomp. ะ”ะพะฑะฐะฒะปะตะฝะพ ะฟั€ะตะดัƒะฟั€ะตะถะดะตะฝะธะต ะพ ั‚ะพะผ, ั‡ั‚ะพ ะฟั€ะธ ะฟะพะฒั‚ะพั€ะฝะพะผ ัƒะบะฐะทะฐะฝะธะธ ะพะฟั†ะธะธ ยซโ€”seccompยป ะฑัƒะดะตั‚ ะฟั€ะธะผะตะฝั‘ะฝ ั‚ะพะปัŒะบะพ ะฟะพัะปะตะดะฝะธะน ะฟะฐั€ะฐะผะตั‚ั€.
  • ะ’ะตั‚ะบะฐ master ะฒ git-ั€ะตะฟะพะทะธั‚ะพั€ะธะธ ะฟะตั€ะตะธะผะตะฝะพะฒะฐะฝะฐ ะฒ main.
  • ะ”ะพะฑะฐะฒะปะตะฝะฐ ั‡ะฐัั‚ะธั‡ะฝะฐั ะฟะพะดะดะตั€ะถะบะฐ ัะฟะตั†ะธั„ะธะบะฐั†ะธะธ REUSE, ัƒะฝะธั„ะธั†ะธั€ัƒัŽั‰ะตะน ะฟั€ะพั†ะตัั ัƒะบะฐะทะฐะฝะธั ัะฒะตะดะตะฝะธะน ะพ ะปะธั†ะตะฝะทะธัั… ะธ ะฐะฒั‚ะพั€ัะบะธั… ะฟั€ะฐะฒะฐั…. ะ’ะพ ะผะฝะพะณะธะต ั„ะฐะนะปั‹ ั ะบะพะดะพะผ ะดะพะฑะฐะฒะปะตะฝั‹ ะทะฐะณะพะปะพะฒะบะธ SPDX-License-Identifier. ะกะปะตะดะพะฒะฐะฝะธะต ั€ะตะบะพะผะตะฝะดะฐั†ะธัะผ REUSE ะฟะพะทะฒะพะปัะตั‚ ัƒะฟั€ะพัั‚ะธั‚ัŒ ะฐะฒั‚ะพะผะฐั‚ะธั‡ะตัะบะพะต ะพะฟั€ะตะดะตะปะตะฝะธะต ะบะฐะบะฐั ะปะธั†ะตะฝะทะธั ะฟั€ะธะผะตะฝัะตั‚ัั ะบ ะบะฐะบะธะผ ะธะท ั‡ะฐัั‚ะตะน ะบะพะดะฐ ะฟั€ะธะปะพะถะตะฝะธั.
  • ะ”ะพะฑะฐะฒะปะตะฝะฐ ะฟั€ะพะฒะตั€ะบะฐ ะทะฝะฐั‡ะตะฝะธั ัั‡ั‘ั‚ั‡ะธะบะฐ ะฐั€ะณัƒะผะตะฝั‚ะพะฒ ะบะพะผะฐะฝะดะฝะพะน ัั‚ั€ะพะบะธ (argc) ะธ ั€ะตะฐะปะธะทะพะฒะฐะฝ ัะบัั‚ั€ะตะฝะฝั‹ะน ะฒั‹ั…ะพะด ะฒ ัะปัƒั‡ะฐะต ะตัะปะธ ัั‡ั‘ั‚ั‡ะธะบ ั€ะฐะฒะตะฝ ะฝัƒะปัŽ. ะ˜ะทะผะตะฝะตะฝะธะต ะฟะพะทะฒะพะปัะตั‚ ะฑะปะพะบะธั€ะพะฒะฐั‚ัŒ ะฟั€ะพะฑะปะตะผั‹ ั ะฑะตะทะพะฟะฐัะฝะพัั‚ัŒัŽ, ะฒั‹ะทะฒะฐะฝะฝั‹ะต ะฝะตะบะพั€ั€ะตะบั‚ะฝะพะน ะพะฑั€ะฐะฑะพั‚ะบะพะน ะฟะตั€ะตะดะฐะฒะฐะตะผั‹ั… ะฐั€ะณัƒะผะตะฝั‚ะพะฒ ะบะพะผะฐะฝะดะฝะพะน ัั‚ั€ะพะบะธ, ั‚ะฐะบะธะต ะบะฐะบ CVE-2021-4034 ะฒ Polkit.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™