Misy famoahana fitaovana handaminana ny asan'ny tontolo mitoka-monina Bubblewrap 0.6, matetika ampiasaina hamerana ny fampiharana tsirairay ataon'ireo mpampiasa tsy manana tombontsoa. Amin'ny fampiharana, Bubblewrap dia ampiasain'ny tetikasa Flatpak ho sosona hanasaraka ireo rindranasa natomboka tamin'ny fonosana. Ny fehezan-dalΓ na momba ny tetikasa dia voasoratra amin'ny C ary zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana LGPLv2+.
Ho an'ny fitokanana dia ampiasaina ny teknolojia virtoaly container Linux nentim-paharazana, mifototra amin'ny fampiasana cgroups, namespaces, Seccomp ary SELinux. Mba hanaovana asa manan-danja amin'ny fanamboarana kaontenera, ny Bubblewrap dia atomboka miaraka amin'ny zon'ny faka (rakitra azo tanterahana miaraka amin'ny sainam-pirenena) ary avy eo dia mamerina ny tombontsoa aorian'ny fanombohana ny container.
Ny fampahavitrihana ny anaran'ny mpampiasa ao amin'ny rafitra namespace, izay ahafahanao mampiasa ny andiana famantarana manokana ao anaty kaontenera, dia tsy ilaina amin'ny fampandehanana, satria tsy mandeha amin'ny alΓ lan'ny default amin'ny fizarana maro (Bubblewrap dia napetraka ho fampiharana suid voafetra amin'ny a sobika amin'ny fahafahan'ny toeran'ny mpampiasa - hanilika ny mpampiasa rehetra sy ny famantarana ny fizotran'ny tontolo iainana, afa-tsy ny ankehitriny, ny maody CLONE_NEWUSER sy CLONE_NEWPID no ampiasaina). Ho fiarovana fanampiny dia atomboka amin'ny fomba PR_SET_NO_NEW_PRIVS ny programa vita amin'ny Bubblewrap, izay mandrara ny fahazoana tombontsoa vaovao, ohatra, raha misy ny saina setuid.
Ny fitokana-monina amin'ny haavon'ny rafi-drakitra dia vita amin'ny alΓ lan'ny famoronana espace mount vaovao amin'ny alΓ lan'ny default, izay misy fizarazarana fotony tsy misy dikany amin'ny fampiasana tmpfs. Raha ilaina dia ampifandraisina amin'ity fizarazarana ity ny fizarazarana FS ivelany amin'ny fomba "mount -bind" (ohatra, rehefa natomboka tamin'ny safidy "bwrap -ro-bind /usr /usr", ny fizarazarana /usr dia alefa avy amin'ny rafitra lehibe. amin'ny fomba vakiana fotsiny). Ny fahafahan'ny tambajotra dia voafetra ihany amin'ny fidirana amin'ny interface loopback miaraka amin'ny fitokanana amin'ny tambajotra amin'ny alΓ lan'ny saina CLONE_NEWNET sy CLONE_NEWUTS.
Ny fahasamihafana lehibe amin'ny tetikasa Firejail mitovy amin'izany, izay mampiasa ny modely fandefasana setuid ihany koa, dia ao amin'ny Bubblewrap ny sosona famoronana kaontenera dia tsy ahitana afa-tsy ny fahaiza-manao faran'izay kely indrindra ilaina, ary ny fiasa mandroso rehetra ilaina amin'ny fampandehanana rindranasa grafika, mifandray amin'ny desktop sy ny fangatahana sivana. mankany Pulseaudio, nafindra tany amin'ny lafiny Flatpak ary novonoina taorian'ny namerenana ny tombontsoa. Firejail, etsy ankilany, dia manambatra ny fiasa rehetra mifandraika amin'ny rakitra azo tanterahana, izay manasarotra ny fanaraha-maso sy ny fitazonana ny fiarovana amin'ny ambaratonga mety.
Ao amin'ny famoahana vaovao:
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° ΡΠ±ΠΎΡΠΎΡΠ½ΠΎΠΉ ΡΠΈΡΡΠ΅ΠΌΡ Meson. ΠΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° ΡΠ±ΠΎΡΠΊΠΈ ΠΏΡΠΈ ΠΏΠΎΠΌΠΎΡΠΈ Autotools ΠΏΠΎΠΊΠ° ΡΠΎΡ ΡΠ°Π½Π΅Π½Π°, Π½ΠΎ Π±ΡΠ΄Π΅Ρ ΡΠ΄Π°Π»Π΅Π½Π° Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· ΡΠ»Π΅Π΄ΡΡΡΠΈΡ Π²ΡΠΏΡΡΠΊΠΎΠ².
- Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΎΠΏΡΠΈΡ Β«βadd-seccompΒ» Π΄Π»Ρ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΡ Π±ΠΎΠ»Π΅Π΅ ΡΠ΅ΠΌ ΠΎΠ΄Π½ΠΎΠΉ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΡ seccomp. ΠΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΏΡΠ΅Π΄ΡΠΏΡΠ΅ΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΎ ΡΠΎΠΌ, ΡΡΠΎ ΠΏΡΠΈ ΠΏΠΎΠ²ΡΠΎΡΠ½ΠΎΠΌ ΡΠΊΠ°Π·Π°Π½ΠΈΠΈ ΠΎΠΏΡΠΈΠΈ Β«βseccompΒ» Π±ΡΠ΄Π΅Ρ ΠΏΡΠΈΠΌΠ΅Π½ΡΠ½ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠΉ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ.
- ΠΠ΅ΡΠΊΠ° master Π² git-ΡΠ΅ΠΏΠΎΠ·ΠΈΡΠΎΡΠΈΠΈ ΠΏΠ΅ΡΠ΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½Π° Π² main.
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΡΠ°ΡΡΠΈΡΠ½Π°Ρ ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° ΡΠΏΠ΅ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΈ REUSE, ΡΠ½ΠΈΡΠΈΡΠΈΡΡΡΡΠ΅ΠΉ ΠΏΡΠΎΡΠ΅ΡΡ ΡΠΊΠ°Π·Π°Π½ΠΈΡ ΡΠ²Π΅Π΄Π΅Π½ΠΈΠΉ ΠΎ Π»ΠΈΡΠ΅Π½Π·ΠΈΡΡ ΠΈ Π°Π²ΡΠΎΡΡΠΊΠΈΡ ΠΏΡΠ°Π²Π°Ρ . ΠΠΎ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ ΡΠ°ΠΉΠ»Ρ Ρ ΠΊΠΎΠ΄ΠΎΠΌ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΈ SPDX-License-Identifier. Π‘Π»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΠ΅ ΡΠ΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°ΡΠΈΡΠΌ REUSE ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΡΠΏΡΠΎΡΡΠΈΡΡ Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠ΅ ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ ΠΊΠ°ΠΊΠ°Ρ Π»ΠΈΡΠ΅Π½Π·ΠΈΡ ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΡΡΡ ΠΊ ΠΊΠ°ΠΊΠΈΠΌ ΠΈΠ· ΡΠ°ΡΡΠ΅ΠΉ ΠΊΠΎΠ΄Π° ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ.
- ΠΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π·Π½Π°ΡΠ΅Π½ΠΈΡ ΡΡΡΡΡΠΈΠΊΠ° Π°ΡΠ³ΡΠΌΠ΅Π½ΡΠΎΠ² ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ ΡΡΡΠΎΠΊΠΈ (argc) ΠΈ ΡΠ΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ ΡΠΊΡΡΡΠ΅Π½Π½ΡΠΉ Π²ΡΡ ΠΎΠ΄ Π² ΡΠ»ΡΡΠ°Π΅ Π΅ΡΠ»ΠΈ ΡΡΡΡΡΠΈΠΊ ΡΠ°Π²Π΅Π½ Π½ΡΠ»Ρ. ΠΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²Π°ΡΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌΡ Ρ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡΡ, Π²ΡΠ·Π²Π°Π½Π½ΡΠ΅ Π½Π΅ΠΊΠΎΡΡΠ΅ΠΊΡΠ½ΠΎΠΉ ΠΎΠ±ΡΠ°Π±ΠΎΡΠΊΠΎΠΉ ΠΏΠ΅ΡΠ΅Π΄Π°Π²Π°Π΅ΠΌΡΡ Π°ΡΠ³ΡΠΌΠ΅Π½ΡΠΎΠ² ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ ΡΡΡΠΎΠΊΠΈ, ΡΠ°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ CVE-2021-4034 Π² Polkit.
Source: opennet.ru