د جلا شوي چاپیریال د کار تنظیم کولو لپاره د وسیلو خوشې کول د بلبل ریپ 0.6 شتون لري، معمولا د غیرمستقیم کاروونکو انفرادي غوښتنلیکونو محدودولو لپاره کارول کیږي. په عمل کې، بلبل ریپ د فلیټپیک پروژې لخوا د کڅوړو څخه پیل شوي غوښتنلیکونه جلا کولو لپاره د پرت په توګه کارول کیږي. د پروژې کوډ په C کې لیکل شوی او د LGPLv2+ جواز لاندې ویشل شوی.
د جلا کولو لپاره، دودیز لینکس کانټینر مجازی کولو ټیکنالوژي کارول کیږي، د cgroups، نوم ځای، Seccomp او SELinux کارولو پر بنسټ. د کانټینر تنظیم کولو لپاره د امتیازي عملیاتو ترسره کولو لپاره ، بلبل ریپ د روټ حقونو سره پیل شوی (د سوډ بیرغ سره د اجرا وړ فایل) او بیا د کانټینر له پیل کیدو وروسته امتیازات بیا تنظیموي.
د نوم ځای سیسټم کې د کارن نوم ځایونو فعالول، کوم چې تاسو ته اجازه درکوي په کانټینرونو کې د خپل ځان د پیژندونکو جلا سیټ وکاروئ، د عملیاتو لپاره اړین ندي، ځکه چې دا په ډیری توزیعونو کې د ډیفالټ لخوا کار نه کوي (بلبلورپ د محدود سوډ پلي کولو په توګه موقعیت لري. د کارن نوم ځایونو وړتیاو فرعي سیټ - د چاپیریال څخه ټول کارونکي او پروسس پیژندونکي لرې کولو لپاره ، پرته له اوسني څخه ، CLONE_NEWUSER او CLONE_NEWPID حالتونه کارول کیږي). د اضافي محافظت لپاره ، د بلبل ریپ لاندې اجرا شوي برنامې په PR_SET_NO_NEW_PRIVS حالت کې پیل شوي ، کوم چې د نوي امتیازاتو ترلاسه کول منع کوي ، د مثال په توګه ، که چیرې د سیټیوډ بیرغ شتون ولري.
د فایل سیسټم په کچه جلا کول د ډیفالټ په واسطه د نوي ماونټ نوم ځای په رامینځته کولو سره سرته رسیدلی ، په کوم کې چې د tmpfs په کارولو سره د روټ خالي برخه رامینځته کیږي. که اړتیا وي، بهرنۍ FS برخې د دې برخې سره په "ماونټ - باند" حالت کې تړل کیږي (د مثال په توګه، کله چې د "bwrap -ro-bind /usr /usr" اختیار سره پیل شي، د /usr ویش د اصلي سیسټم څخه لیږل کیږي. یوازې د لوستلو حالت کې). د شبکې وړتیاوې د CLONE_NEWNET او CLONE_NEWUTS بیرغونو له لارې د شبکې سټیک انزوا سره لوپ بیک انٹرفیس ته لاسرسي پورې محدود دي.
د ورته فائرجیل پروژې څخه کلیدي توپیر ، کوم چې د سیټیوډ لانچ ماډل هم کاروي ، دا دی چې په ببلورپ کې د کانټینر رامینځته کولو پرت کې یوازې اړین لږترلږه وړتیاوې شاملې دي ، او ټول پرمختللي فعالیتونه د ګرافیکي غوښتنلیکونو چلولو لپاره اړین دي ، د ډیسټاپ سره متقابل عمل او د فلټر کولو غوښتنې. پلسودیو ته، د فلیټپاک لوري ته لیږدول شوی او د امتیازاتو له بیا تنظیمولو وروسته اعدام شوی. فائرجیل، له بلې خوا، ټولې اړونده دندې په یوه اجرایوي فایل کې یوځای کوي، کوم چې په مناسبه کچه د امنیت پلټنه او ساتل ستونزمن کوي.
په نوې خپرونه کې:
- Добавлена поддержка сборочной системы Meson. Поддержка сборки при помощи Autotools пока сохранена, но будет удалена в одном из следующих выпусков.
- Реализована опция «—add-seccomp» для добавления более чем одной программы seccomp. Добавлено предупреждение о том, что при повторном указании опции «—seccomp» будет применён только последний параметр.
- Ветка master в git-репозитории переименована в main.
- Добавлена частичная поддержка спецификации REUSE, унифицирующей процесс указания сведений о лицензиях и авторских правах. Во многие файлы с кодом добавлены заголовки SPDX-License-Identifier. Следование рекомендациям REUSE позволяет упростить автоматическое определение какая лицензия применяется к каким из частей кода приложения.
- Добавлена проверка значения счётчика аргументов командной строки (argc) и реализован экстренный выход в случае если счётчик равен нулю. Изменение позволяет блокировать проблемы с безопасностью, вызванные некорректной обработкой передаваемых аргументов командной строки, такие как CVE-2021-4034 в Polkit.
سرچینه: opennet.ru