He tuku taputapu mo te whakarite i nga mahi o nga taiao taratahi Bubblewrap 0.6 e waatea ana, i te nuinga o te waa ki te aukati i nga tono takitahi a nga kaiwhakamahi kore. I roto i te mahi, ka whakamahia te Bubblewrap e te kaupapa Flatpak hei paparanga hei wehe i nga tono i whakarewahia mai i nga kohinga. Ko te waehere kaupapa kua tuhia ki te C ka tohatohahia i raro i te raihana LGPLv2+.
Mo te wehe, ka whakamahia nga hangarau mariko ipu Linux tuku iho, i runga i te whakamahinga o nga roopu c, mokowā ingoa, Seccomp me SELinux. Hei mahi i nga mahi whai mana ki te whirihora i tetahi ipu, ka whakarewahia a Bubblewrap me nga motika pakiaka (he konae ka taea te whakahaere me te haki suid) katahi ka tautuhi ano i nga mana whai muri i te tiimata o te ipu.
Ko te whakahohe i nga mokowā ingoa kaiwhakamahi i roto i te punaha mokowāingoa, e taea ai e koe te whakamahi i a koe ake huinga ingoa motuhake i roto i nga ipu, kaore e hiahiatia mo te mahi, na te mea kaore i te mahi taunoa i roto i nga tohatoha maha (Ko te Bubblewrap te tuunga he iti te whakatinana suid o te te waahanga o nga mokowā ingoa kaiwhakamahi - ki te whakakore i nga kaitautuhi katoa me nga kaitautuhi tukatuka mai i te taiao, haunga te mea o naianei, ka whakamahia nga tikanga CLONE_NEWUSER me CLONE_NEWPID). Mo etahi atu whakamarumaru, ka whakarewahia nga kaupapa i mahia i raro i te Bubblewrap ki te aratau PR_SET_NO_NEW_PRIVS, e aukati ana i te whiwhi mana hou, hei tauira, mena kei reira te haki setuid.
Ko te wehe i te taumata o te punaha konae ka tutuki ma te hanga i tetahi mokowā ingoa maunga hou ma te taunoa, ka hangaia he wehenga pakiaka kau ma te whakamahi i te tmpfs. Mena e tika ana, ka piri nga waahanga FS o waho ki tenei waahanga i roto i te aratau "mount —bind" (hei tauira, ka whakarewahia me te "bwrap —ro-bind /usr /usr", ka tukuna te /usr wehewehe mai i te punaha matua. i roto i te aratau panui-anake). He iti te kaha o te whatunga ki te uru atu ki te atanga whakamuri me te whakamotuhake o te whatunga ma te haki CLONE_NEWNET me CLONE_NEWUTS.
Ko te rereketanga nui mai i te kaupapa Firejail rite, e whakamahi ana hoki i te tauira whakarewanga setuid, kei roto i te Bubblewrap te paparanga hanga ipu kei roto anake nga kaha iti e tika ana, me nga mahi matatau katoa e tika ana mo te whakahaere i nga tono kauwhata, te taunekeneke me te papamahi me nga tono tātari. ki Pulseaudio, ka whakawhitia ki te taha Flatpak ka mahia i muri i te whakahokinga o nga mana. Ko Firejail, i tetahi atu taha, ka whakakotahi i nga mahi katoa e pa ana ki tetahi konae ka taea te whakahaere, he uaua ki te tirotiro me te pupuri i te haumarutanga ki te taumata tika.
I roto i te tukunga hou:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
Source: opennet.ru