Ġiet ippubblikata fergħa stabbli ġdida tal-għodda tal-Flatpak 1.12, li tipprovdi sistema għall-bini ta 'pakketti awtonomi li mhumiex marbuta ma' distribuzzjonijiet speċifiċi tal-Linux u li jaħdmu f'kontenitur speċjali li jiżola l-applikazzjoni mill-bqija tas-sistema. L-appoġġ għat-tħaddim tal-pakketti Flatpak huwa pprovdut għal Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux u Ubuntu. Il-pakketti Flatpak huma inklużi fir-repożitorju Fedora u huma appoġġjati mill-maniġer tal-applikazzjoni nattiva GNOME.
Innovazzjonijiet ewlenin fil-fergħa Flatpak 1.12:
- Ġestjoni mtejba ta 'ambjenti ta' sandbox nested użati fil-pakkett flatpak mal-klijent għas-servizz ta 'kunsinna ta' logħba Steam. F'sandboxes nested, il-ħolqien ta 'ġerarkiji separati tad-direttorji / usr u / app huwa permess, li jintuża fi Steam biex iniedi logħob f'kontenitur separat bil-partizzjoni /usr tiegħu stess, iżolat mill-ambjent mal-klijent Steam.
- L-istanzi kollha tal-pakkett bl-istess identifikatur tal-applikazzjoni (app-ID) jaqsmu d-direttorji /tmp u $XDG_RUNTIME_DIR. B'għażla, billi tuża l-bandiera "--allow=per-app-dev-shm", tista' tippermetti l-użu tad-direttorju kondiviż /dev/shm.
- Appoġġ imtejjeb għall-applikazzjonijiet tal-Interface tal-Utent tat-Test (TUI) bħal gdb.
- Implimentazzjoni aktar mgħaġġla tal-kmand "ostree prune" ġiet miżjuda mal-utilità ta 'build-update-repo, ottimizzata biex taħdem ma' repożitorji fil-mod ta 'arkivju.
- Il-vulnerabbiltà CVE-2021-41133 fl-implimentazzjoni tal-mekkaniżmu tal-portal, assoċjata man-nuqqas ta 'imblukkar ta' sejħiet ta 'sistema ġodda relatati mal-immuntar ta' diviżorji fir-regoli seccomp, ġiet iffissata. Il-vulnerabbiltà ppermettiet lill-applikazzjoni toħloq sandbox nested biex tevita l-mekkaniżmi ta 'verifika "portal" li huma użati biex jorganizzaw l-aċċess għar-riżorsi barra l-kontenitur.
B'riżultat ta 'dan, attakkant, billi jwettaq sejħiet tas-sistema relatati mal-immuntar, jista' jevita l-mekkaniżmu ta 'iżolament tas-sandbox u jikseb aċċess sħiħ għall-kontenut tal-ambjent ospitanti. Il-vulnerabbiltà tista 'tiġi sfruttata biss f'pakketti li jipprovdu applikazzjonijiet b'aċċess dirett għal sockets AF_UNIX, bħal dawk użati minn Wayland, Pipewire, u pipewire-pulse. Fir-rilaxx 1.12.0, il-vulnerabbiltà ma ġietx eliminata kompletament, għalhekk l-aġġornament 1.12.1 ġie rilaxxat jaħraq.
Ejjew infakkarkom li Flatpak jippermetti lill-iżviluppaturi tal-applikazzjonijiet jissimplifikaw id-distribuzzjoni tal-programmi tagħhom li mhumiex inklużi fir-repożitorji tad-distribuzzjoni standard billi jippreparaw kontenitur universali wieħed mingħajr ma joħolqu assemblaġġi separati għal kull distribuzzjoni. Għal utenti konxji tas-sigurtà, Flatpak jippermettilek tħaddem applikazzjoni dubjuża f'kontenitur, li tipprovdi aċċess biss għall-funzjonijiet tan-netwerk u l-fajls tal-utent assoċjati mal-applikazzjoni. Għall-utenti interessati fi prodotti ġodda, Flatpak jippermettilek tinstalla l-aħħar test u rilaxxi stabbli tal-applikazzjonijiet mingħajr il-ħtieġa li tagħmel bidliet fis-sistema. Pereżempju, il-pakketti Flatpak huma mibnija għal LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio, eċċ.
Biex tnaqqas id-daqs tal-pakkett, tinkludi biss dipendenzi speċifiċi għall-applikazzjoni, u s-sistema bażika u l-libreriji tal-grafika (libreriji GTK, Qt, GNOME u KDE, eċċ.) huma ddisinjati bħala ambjenti runtime standard plug-in. Id-differenza ewlenija bejn Flatpak u Snap hija li Snap juża l-komponenti tal-ambjent tas-sistema prinċipali u l-iżolament ibbażat fuq is-sejħiet tas-sistema ta 'filtrazzjoni, filwaqt li Flatpak joħloq kontenitur separat mis-sistema u jopera b'settijiet ta' runtime kbar, li jipprovdu mhux pakketti bħala dipendenzi, iżda standard. dawk l-ambjenti tas-sistema (pereżempju, il-libreriji kollha meħtieġa għat-tħaddim tal-programmi GNOME jew KDE).
Minbarra l-ambjent tas-sistema standard (runtime), installat permezz ta 'repożitorju speċjali, dipendenzi addizzjonali (bundle) meħtieġa għat-tħaddim tal-applikazzjoni huma forniti. B'kollox, runtime u bundle jiffurmaw il-mili tal-kontenitur, minkejja l-fatt li runtime huwa installat separatament u marbut ma 'diversi kontenituri f'daqqa, li jippermettilek tevita li tidduplika fajls tas-sistema komuni għall-kontenituri. Sistema waħda jista' jkollha diversi runtimes differenti installati (GNOME, KDE) jew diversi verżjonijiet tal-istess runtime (GNOME 3.40, GNOME 3.42). Kontenitur b'applikazzjoni bħala dipendenza juża rbit biss għal runtime speċifiku, mingħajr ma jqis il-pakketti individwali li jiffurmaw ir-runtime. L-elementi kollha neqsin huma ppakkjati direttament mal-applikazzjoni. Meta kontenitur jiġi ffurmat, il-kontenut tar-runtime jiġi mmuntat bħala l-partizzjoni /usr, u l-pakkett jiġi mmuntat fid-direttorju /app.
Ir-runtime u l-kontenituri tal-applikazzjoni jinbnew bl-użu tat-teknoloġija OSTree, li fiha l-immaġni hija aġġornata atomikament minn repożitorju bħal Git, li jippermetti li jiġu applikati metodi ta 'kontroll tal-verżjoni għall-komponenti tad-distribuzzjoni (per eżempju, tista' malajr terġa' lura s-sistema għal stat preċedenti). Il-pakketti RPM huma tradotti fir-repożitorju OSTree bl-użu ta 'saff speċjali rpm-ostree. L-installazzjoni u l-aġġornament separati ta 'pakketti fl-ambjent tax-xogħol mhumiex appoġġjati; is-sistema hija aġġornata mhux fil-livell ta' komponenti individwali, iżda b'mod ġenerali, tbiddel atomikament l-istat tagħha. Jipprovdi għodod biex japplikaw aġġornamenti b'mod inkrementali, u jelimina l-ħtieġa li l-immaġni tissostitwixxi kompletament ma 'kull aġġornament.
L-ambjent iżolat iġġenerat huwa kompletament indipendenti mid-distribuzzjoni użata u, b'settings xierqa tal-pakkett, m'għandux aċċess għal fajls u proċessi tal-utent jew tas-sistema prinċipali, u ma jistax jaċċessa direttament it-tagħmir, bl-eċċezzjoni tal-output permezz ta 'DRI u sejħiet. għas-subsistema tan-netwerk. Il-produzzjoni tal-grafika u l-organizzazzjoni tal-input huma implimentati bl-użu tal-protokoll Wayland jew permezz ta 'trażmissjoni tas-socket X11. L-interazzjoni mal-ambjent estern hija bbażata fuq is-sistema tal-messaġġi DBus u Portals API speċjali.
Għall-iżolament, jintużaw is-saff Bubblewrap u t-teknoloġiji tradizzjonali tal-virtwalizzazzjoni tal-kontenituri Linux, ibbażati fuq l-użu ta 'cgroups, namespaces, Seccomp u SELinux. PulseAudio jintuża biex joħroġ il-ħoss. F'dan il-każ, l-iżolament jista 'jiġi diżattivat, li jintuża mill-iżviluppaturi ta' ħafna pakketti popolari biex jiksbu aċċess sħiħ għas-sistema tal-fajls u l-apparati kollha fis-sistema. Pereżempju, GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity u VLC jiġu b'mod ta 'iżolament limitat li jħalli aċċess sħiħ għad-direttorju tad-dar.
Jekk pakketti b'aċċess għad-direttorju tad-dar huma kompromessi, minkejja l-preżenza tat-tikketta "sandboxed" fid-deskrizzjoni tal-pakkett, l-attakkant jeħtieġ biss li jibdel il-fajl ~/.bashrc biex jesegwixxi l-kodiċi tiegħu. Kwistjoni separata hija l-kontroll tal-bidliet fil-pakketti u l-fiduċja fil-bennejja tal-pakketti, li ħafna drabi mhumiex assoċjati mal-proġett jew id-distribuzzjonijiet prinċipali.
Sors: opennet.ru